készítette: dr. schubert tamás Óbudai...
Post on 11-Oct-2019
7 Views
Preview:
TRANSCRIPT
Kapcsolók biztonsága
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/1
Készítette:Dr. Schubert Tamás
Óbudai Egyetem
Kapcsolók biztonságaTartalom
• A feszít őfa protokoll (Spanning Tree Protocol)• Virtuális LAN-ok (VLAN)• Virtuális LAN, trönk használata• Virtuális LAN, IEEE 802.1Q címkézés• Kapcsolók biztonsága• A MAC réteget ér ő támadások• A VLAN -t érő támadások
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/2
• A VLAN -t érő támadások• A kapcsolót ér ő támadások• A port-biztonság lehet őségei• Authentication, authorization, and accounting (AAA)• Védekezés a VLAN-ok elleni támadásokkal szemben• Védekezés az átejtés (spoofing) támadásokkal szemben• A kapcsolót ér ő támadások• A legjobb gyakorlat a kapcsolók biztonságára
Feszítőfa protokoll (Spanning tree)Redundáns összeköttetések
• A kapcsolt hálózatokban gyakran használnak redundáns összeköttetéseket.• Ezek növelik a megbízhatóságot, a hibatűrést.• A redundancia növeli a költségeket. Egyensúlyt kell teremteni a költségek és a
rendelkezésre állás mértéke között.• A redundáns összeköttetések (fizikai hurkok) broadcast viharokat, többszörös
kerettovábbítást és instabil MAC címtáblázatokat okozhatnak.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/3
SzerverekGerinchálózatMunka-csoport
S1
S2
S3
S4
S5
S6
S7
Feszítőfa protokollRedundáns összeköttetések
• A Spanning-Tree Protocol (STP) hurokmentes logikai hálózatot épít fel hurkokat tartalmazó fizikai hálózaton az adatkapcsolati rétegben.
• A protokoll egy kapcsolókból, portokból és összeköttetésekből álló logikai fastruktúrát hoz létre, amely az átviteli kapacitás szempontjából lehetőleg optimális összekötetést biztosít a kapcsolók között.
Feszítőfa
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/4
SzerverekGerinchálózatMunka-csoport
S1
S2
S3
S4
S5
S6
S7
Feszítőfa
Feszítőfa protokollSpanning tree protokollok: IEEE 802.1d, IEEE 802.1w
• A kapcsolók ún. bridge protocol data unit (BPDU) keretek segítségével érintkeznek egymással.
• A protokoll végrehajtásának eredményeképpen bizonyos kapcsolók, portok és összeköttetések blokkolt állapotba kerülnek, adattovábbítást nem végeznek.
• Topológiaváltozás vagy meghibásodás esetén a blokkolt portok gyorsan aktív állapotba kerülhetnek és a teljes hálózat újra összefüggő lesz.
• A feszítőfa kialakításához, újraszámolásához kb. 50 másodpercre van
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/5
• A feszítőfa kialakításához, újraszámolásához kb. 50 másodpercre van szükség.
• Azon portoknak, amelyekre szervereket és munkaállomásokat kapcsolunk nem kell részt venniük a feszítőfa kialakításában, hiszen mindig kerettovábbítási üzemmódban lesznek, sosem blokkolódnak. Ha ezeket ún. „portfast” módba kapcsoljuk, azonnal képesek lesznek kerettovábbításra.
Virtuális LAN (VLAN)• Virtuális LAN-okat a kapcsolókban konfigurálás révén hozzuk létre.• A kapcsoló bizonyos portjait az egyik VLAN-hoz, más portjait egy másik VLAN-
hoz rendeljük, stb.• Az egyes VLAN-okhoz rendelt gépek azonos IP hálózathoz (alhálózathoz)
tartoznak, azaz IP címük hálózati része azonos.• A VLAN-ok között a kapcsolóban nincs átjárás. Sem az egyedi címmel ellátott
(unicast), sem a szórásos, sem az elárasztásos keretek nem jutnak át.• VLAN-ok között csak forgalomirányítóval teremthetünk kapcsolatot, ugyanúgy,
mint a valódi LAN-ok között.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/6
mint a valódi LAN-ok között.
VLAN 1. VLAN 2.
Virtuális LANA VLAN-ok létrehozásának okai:
• A gépeket csoportosíthatjuk szervezeti egység szerint, közös alkalmazások használata szerint.
• A szórásokat kordában tarthatjuk. A szórások nem jutnak át másik VLAN-ba.
• A hálózat biztonsága növelhető. Adatkapcsolati rétegben a különböző VLAN-okba tartozó gépek nem kommunikálhatnak egymással.
192.168.1.1/24 192.168.2.1/24
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/7
VLAN 1. VLAN 2.
192.168.1.2/24 192.168.1.3/24 192.168.2.2/24 192.168.2.3/24
Virtuális LANA VLAN-ok létrehozásának okai (folytatás):
• Különböző VLAN-ok között forgalomirányítóval teremthető kapcsolat.• A forgalomirányítóban megfelelő védelmi mechanizmusokat lehet
alkalmazni, amelyekkel szabályozzuk a VLAN-ok közötti forgalmat (hozzáférési listák).
192.168.1.1/24 192.168.2.1/24
192.168.2.99/24192.168.1.99/24
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/8
VLAN 1. VLAN 2.
192.168.1.2/24 192.168.1.3/24 192.168.2.2/24 192.168.2.3/24
Virtuális LANPortok VLAN-okhoz rendelése
• Statikus� Statikus hozzárendelés esetén konfiguráljuk, hogy melyik port, melyik
VLAN-ba tartozzon.
• Dinamikus
� Dinamikus hozzárendelés esetén egy VLAN felügyeleti szerverben (többnyire egy erre alkalmas kapcsoló) előre rögzítjük, hogy a különböző MAC című készülékek melyik VLAN-ba tartozzanak.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/9
MAC című készülékek melyik VLAN-ba tartozzanak.� A készülékek tetszőleges portra csatlakoztathatók.� Az első keret küldésekor a kapcsoló a szerverhez fordul, lekéri az adott
MAC című eszköz VLAN azonosítóját, ezután a kapcsoló portját a megadott VLAN-ba sorolja.
� Ezzel a gépek tetszőleges porthoz csatlakoztathatók, VLAN hozzárendelésük nem változik.
Virtuális LANTöbb kapcsolóra kiterjesztett VLAN-ok: Trunk (trönk)
• A VLAN-ok több kapcsolóra is kiterjedhetnek.• Az ábrán a VLAN 1-be és a VLAN 2-be tartozó gépek mindkét kapcsolón
jelen vannak.• A kapcsolókat trönk portokon keresztül kapcsoljuk össze.• Egyes kapcsolótípusoknak csak kitüntetett portjai (pl. nagyobb sebességű
portok), másoknak valamennyi portja konfigurálható trönk portként.• A trönk portok egyik VLAN-ba sem tartoznak, alapesetben az összes VLAN
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/10
• A trönk portok egyik VLAN-ba sem tartoznak, alapesetben az összes VLAN forgalmát továbbítják. Általában konfigurálható, hogy mely VLAN-okat továbbítsák.
Trönk: VLAN 1. + VLAN 2.
192.168.1.0/24 192.168.2.0/24
VLAN 2.VLAN 1.VLAN 1.VLAN 2.
192.168.1.0/24192.168.2.0/24
Virtuális LANTöbb kapcsolóra kiterjesztett VLAN-ok: Trönk (folyta tás)
• A trönk vonalon áthaladó kereteket a kapcsoló címkével látja el, amely tartalmazza a keret VLAN azonosítóját is. A másik kapcsolónak tudnia kell, hogy a keret melyik VLAN-ba tartozik.
• Amíg a keret a gerinchálózaton (trönkön) halad a címke a kereten marad, mihelyt a kapcsoló a keretet egy nem-trönk porton küldi ki, eltávolítja a VLAN címkét.
• A trönk protokoll szabványos: IEEE 802.1Q (dot1q). A különböző gyártók kapcsolói így együttműködhetnek.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/11
kapcsolói így együttműködhetnek.• Más nem szabványos gyári protokollok is léteznek (pl. Cisco ISL).• A több kapcsolóra kiterjesztett VLAN-ok előnye, hogy a helytől függetlenül
csoportosíthatjuk a munkaállomásokat VLAN-okba.Ha pl. a VLAN 1 hálózatból egy munkaállomást át kell helyezni egy másik épületbe, a kapcsolónak egy portját a másik épületben a VLAN 1-hez kell rendelni, a munkaállomás megtarthatja az IP címét.
• Ha egy állomást másik VLAN-ba kell tennünk, IP címét a másik hálózatból kell adnunk.
• A Spanning Tree Protocol-t minden VLAN-ra külön kell alkalmazni.
Virtuális LANTöbb kapcsolóra kiterjesztett VLAN-ok: Trönk (folyta tás)
• A VLAN-ok között forgalomirányítóval lehet adatot cserélni.• Használhatnánk minden VLAN-ra külön-külön forgalomirányító-portot. Ez
nem gazdaságos sok VLAN esetén.• A forgalomirányító portjait is lehet trönkként konfigurálni.
Alinterfészeket kell létrehozni egy fizikai interfészen, és az egyes alinterfészeket a VLAN-okhoz rendelni.
• Az alinterfészeknek ez esetben a saját VLAN-beli IP címet kell adnunk.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/12
Trönk: VLAN 1. + VLAN 2.
192.168.1.0/24 192.168.2.0/24
VLAN 2.VLAN 1.VLAN 1.VLAN 2.
192.168.1.0/24192.168.2.0/24
Ez is trönkvonal!
Virtuális LANIEEE 802.1Q címkézés
• A trönk kapcsolaton egy VLAN-címkével ellátott keret halad keresztül.• Amikor a keret hozzáférési porton hagyja el a kapcsolót, a kapcsoló a címkét
eltávolítja a keretből.• A címke mezői:
� EtherType: EtherType 0x8100 jelzi, hogy ez egy 802.1Q keret� PRI: 3 bits; a keret prioritását jelzi (IEEE 802.1p protokoll)� Token Ring Encapsulation Flag: 0� VID: A keret VLAN tagságát jelzi
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/13
Kapcsolók biztonsága
• A kapcsolók az ISO OSI referencia modell 2. rétegében működnek.• A 2. rétegben is számtalan támadás érheti a hálózatokat.• A kapcsolókban számos biztonsági lehetőség létezik, ezeket megfelelően
kell konfigurálni.• A forgalomirányítókhoz hasonlóan a kapcsolókban is rendelkezésre állnak
a hozzáférési listák (ACL) a magasabb rétegben működő protokollok védelmére.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/14
Illegális második réteg ű eszközök• Illegális (csaló) 2. rétegű eszközök csatlakoztatása a hálózathoz
� A vállalat dolgozói által (az üzemeltető személyzet tudta nélkül helyezik el). Általában a biztonsági megoldásokat mellőzik, ezáltal a belső hálózat sérülékennyé válik.
� Ártani szándékozó külső személyek által (igyekeznek fizikailag is elrejteni az eszközöket)
Kapcsolók biztonsága
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/15
Ilyen eszközök:• Kapcsolók (Switch)• Hozzáférési pontok (Access
Point)• Hidak (Bridge)• Ismétlők (Hub) (OSI 1.
réteg)
Kapcsoló illegális csatlakoztatása a hálózathoz lehetővé teszi a támadó részére, hogy:
� Manipulálja a feszítőfa protokollt� Hop VLAN-t hozzon létre� Lehallgassa a hálózati forgalmat
A kalóz kapcsolók lehetnek trönk képességgel felruházott egyszerű munkaállomások is.
Kapcsolók biztonsága
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/16
munkaállomások is.
A kapcsolót ér ő támadások fajtái:• A MAC réteget érő támadás• A VLAN-t érő támadás• Átejtés (spoofing)• A kapcsolót érő támadás
A MAC réteget ér ő támadásokTámadási mód Leírás Az elhárítás lépései
MAC cím elárasztás
A támadó nem létező egyedi forrás MAC című keretekkel árasztja el a kapcsolót.A kapcsolótábla megtelik. Ekkor a létező MAC címekre irányuló keretek elárasztással minden portra eljutnak, mivel új címek már nem férnek be a kapcsolótáblába.
Port biztonság beállítása.MAC cím – VLAN térkép
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/17
nem férnek be a kapcsolótáblába.
A VLAN -t érő támadásokTámadási mód Leírás Az elhárítás lépései
VLAN hopping A támadó megváltoztatja a VLAN ID-t a keretben. A támadó eszköz küldhet és fogadhat kereteket különböző VLAN-okba ill. VLAN-okból, megkerülve a 3. rétegű biztonsági szűrést.
Ne konfiguráljuk a portokat, úgy, hogy automatikusan felépítsék a trönk-működést.A nem használt portokathelyezzük közös VLAN-ba.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/18
Azonos VLAN-on lévő eszköz támadása
Szükséges lehet az azonos VLAN-on lévő készülékek védelme egymással szemben is.Pl. szolgáltatói hálózatban lévő szerverek, amelyek több előfizetőt is kiszolgálnak.
Privát VLAN-ok (PVLAN) létrehozása
Átejtés (spoofing)Támadási mód Leírás Az elhárítás lépései
DHCP kiéheztetésDHCP átejtés (spoofing)
A támadó eszköz kimeríti a rendel-kezésre álló IP címtartományt.Beállítja magát DHCP szervernek és man-in-the-middle támadást hajt végre.
DHCP szimatolás (snooping)
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/19
Spanning Tree kompromittá-lás
A támadó eszköz gyökérponti hídnak (Root bridge) állítja be magát az STP-fában. Ezáltal a forgalom nagy része rajta halad keresztül.
Az elsődleges és a másodlagos gyökérponti híd kézi beállítása.Root guardengedélyezése.
Átejtés (spoofing)Támadási mód Leírás Az elhárítás lépései
MAC átejtés (spoofing)
A támadó eszköz a kapcsoló táblában már bent lévő eszköz MAC-címét használja. A kapcsoló ezután az igazi eszköznek szánt kereteket a hamis eszköznek küldi.
DHCP szimatolás (snooping) konfigurá-lása.Port-biztonság konfigurá-lása.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/20
Address Resolution Protocol (ARP) átejtés
A támadó eszköz válaszol az igazi helyett az ARP kérésre, megadva a saját MAC-címét.
Dinamikus ARP vizsgálat.DHCP szimatolás (snooping) konfigurá-lása.Port biztonság konfigurá-lása.
A kapcsolót ér ő támadásokTámadási mód Leírás Az elhárítás lépései
Cisco Discovery Protocol (CDP) manipulálása
A CDP protokoll üzenetei titkosítás és hitelesítés nélkül haladnak a hálózati összeköttetésen. Ez lehallgatható és információ nyerhető a hálózati topológiáról.
CDP kikapcsolása minden olyan porton, amelyen a CDP nélkülözhető.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/21
Secure Shell Protocol (SSH) és Telnet támadás
A Telnet protokoll csomagjai nyílt szövegként haladnak a hálózaton.Az SSH hitelesít és titkosít, de az SSHv1 biztonsági szempontból nem tökéletes.
Az SSHv2-t kell használni a kapcsoló konfigurálására.A Telnet-et a virtuális terminálon (vty) alkalmazott ACL-lelhasználjuk, hogy csak meghatározott gép(ek)rőllehessen bejelentkezni a kapcsolóra.
MAC cím elárasztás• A támadó nem létező egyedi forrás MAC című keretekkel árasztja el a
kapcsolót.• A kapcsolótábla megtelik. Létező MAC címekre irányuló keretek
elárasztással minden portra eljutnak. Ez egyben DoS támadás is.• A port biztonság konfigurálása lehetővé teszi, hogy maximáljuk az egy
porton bejegyezhető MAC-címek számát és megadjuk, hogy melyek ezek a
MAC-címek.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/22
A port-biztonság lehet őségei
• Megadhatjuk, hogy maximálisan hány MAC-cím jegyezhető be egy-egy porthoz.
• Megadhatjuk az adott portra csatlakozó eszközök MAC-címeit.• Megadhatjuk, hogy mi történjen a portbiztonság megsértése esetén:
� Protect : a keretet eldobja, nincs log üzenet.� Restrict : a keretet eldobja, log üzenet küld és SNMP trap-et generál.� Shut down : a keretet eldobja, log üzenet küld és SNMP trap-et generál
és a portot error disabled állapotba helyezi. Ez csak kézi beavatkozással oldható fel.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/23
beavatkozással oldható fel.
Authentication, authorization, and accounting (AAA)
A hozzáférés szabályozása• Authentication - hitelesítés: ellenőrzi a felhasználó azonosságát• Authorization - engedélyezés: meghatározza, mit tehet a felhasználó• Accounting - könyvelés: számlázás, ellenőrzés, megfigyelés
Ez három független szolgáltatás. Csak a hitelesítéssel foglalkozunk.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/24
Authentication - Hitelesítés• A felhasználót hitelesíteni kell, mielőtt hozzáférhetne a hálózat
szolgáltatásaihoz.• Egy listát kell megadni, amely tartalmazza a lehetséges hitelesítési
módszereket.• A listában az egyes módszereket sorrendben kell alkalmazni.• A listát azután interfészekhez kell hozzárendelni.• Az AAA RADIUS, TACACS+ vagy 802.1x protokollt használ a biztonsági
feladat ellátásához.• A Cisco IOS által használt hitelesítési módok:
Enable password
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/25
� Enable password� Kerberos 5� Kerberos 5 Telnet hitelesítés� Line password (konzol)� Helyi adatbázis� Helyi adatbázis kis/nagy betű megkülönböztetésével� RADIUS� TACACS+
802.1x port-alapú hitelesítés• Az IEEE 802.1x szabvány definiálja a port-alapú hozzáférés vezérlés és
hitelesítés protokollt, amely korlátozza a hitelesítetlen eszközök hozzáférését a kapcsoló portokhoz.
• A hitelesítő szerver hitelesít minden munkaállomást, amely csatlakozik a kapcsoló portokhoz, mielőtt megengedné az állomás hozzáférését a hálózati szolgáltatásokhoz.
• A hitelesítés folyamata alatt a 802.1x hozzáférés vezérlés csak az Extensible Authentication Protocol over LAN (EAPOL) forgalmat engedélyezi a kapcsoló porton.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/26
802.1x port-alapú hitelesítés• A kapcsoló port kezdetben unauthorized (hitelesítetlen) állapotban van.• A hitelesítés akkor kezdődik, amikor a link létrejön az állomás és a
kapcsoló port között, vagy az állomás küld egy EAPOL-start keretet.• Sikeres hitelesítés után a kapcsoló port authorized (hitelesített) állapotba
kerül.• Amikor a felhasználó kijelentkezik, küld a kapcsolónak egy EAPOL-logoff
üzenetet. A port unauthorized állapotba kerül.• A kapcsoló a hitelesítési módszerek listájának első helyén lévő módszerrel
próbálja hitelesíteni a munkaállomást. Ha a munkaállomás ezt nem támogatja, a soron következővel próbálkozik.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/27
támogatja, a soron következővel próbálkozik.• Ha a hitelesítési módszert kiválasztják, és a hitelesítés nem sikerül, nem
kerül sor új módszer kiválasztására.
Védekezés a VLAN -ok elleni támadásokkal szemben
VLAN hopping• A támadó eszköz trönk automatikus létrehozását kezdeményezi.• Ha a kapcsolóport szintén a trönk automatikus létrehozásra van
konfigurálva, akkor ez sikeres lehet.• A támadó eszköz hozzáférhet minden olyan VLAN forgalmához, amelyik a
trönkön áthaladhat:� szórásos (broadcast)� többes címzésű (multicast)� ismeretlen cél-című keretek
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/28
� ismeretlen cél-című keretekEzekhez egyébként normális végállomásként nem férne hozzá.
Védekezés a VLAN -ok elleni támadásokkal szemben
A VLAN hopping megvalósításának két módszere van:
• VLAN hopping kapcsoló átejtéssel (switch spoofing)• VLAN hopping 2-szeres címkézéssel (double tagging)
VLAN hopping kapcsoló átejtéssel (switch spoofing)• A létrehozott trönk kapcsolaton a támadó állomás küldhet és fogadhat
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/29
• A létrehozott trönk kapcsolaton a támadó állomás küldhet és fogadhat kereteket bármelyik VLAN-ba ill. VLAN-ból, amely a trönkön áthaladhat.
Védekezés a VLAN -ok elleni támadásokkal szemben
VLAN hopping 2-szeres címkézéssel (double tagging)• A 2-szeres címkézés lehetővé teszi, hogy egy keretet a forrás VLAN-étól
különböző VLAN-ba küldjünk.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/30
Védekezés a VLAN -ok elleni támadásokkal szemben
VLAN hopping 2-szeres címkézéssel (double tagging)
Natív VLAN:� Minden trönk portnak van egy ún. natív VLAN-ja.� A natív VLAN-ba tartozó keretek címkézetlenül haladnak át a trönkön!
• A támadó állomás szórásos, többes címzésű vagy ismeretlen cél-című keretet küld két 802.1Q címkével (VLAN 10) az első kapcsolónak.
• A kapcsoló eltávolítja a külső címkét, majd továbbítja az össze portra,
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/31
• A kapcsoló eltávolítja a külső címkét, majd továbbítja az össze portra, amely azonos VLAN-ban van a címkében foglalt VLAN-nal.
• Ha a második kapcsoló felé induló trönk port natív VLAN-ja (10-es) azonos VLAN-ban van annak a portnak a natív VLAN-jával, amelyen belépett az első kapcsolón, nem címkézi újra a keretet, hanem továbbítja a trönkön a belső VLAN-címkével. A második kapcsoló eltávolítja a címkét (20-as), és kiküldi az összes VLAN-20-ba tartozó porton.
• Ha a trönk port natív VLAN-ja különbözik a bejövő port VLAN-jától, a keret a trönkön kétszeres címkével halad tovább, és a második kapcsolónak csak a 10-es VLAN-ba tartozó portjain fog kijutni. Ez esetben nincs VLAN hopping.
Védekezés a VLAN -ok elleni támadásokkal szemben
Védekezés a VLAN hopping támadással szemben
• Minden nem használt kapcsoló portot hozzáférési portként (access port) konfiguráljunk. Így tárgyalásos trönk kialakítás nem lehetséges.
• Soroljunk minden nem használt portot egy olyan VLAN-ba, amelyet nem használunk forgalom továbbítására, és kapcsoljuk ki (shutdown).
• Trönk konfigurálásakor tartsuk be a következő szabályokat:� A trönk port natív VLAN tagsága különbözzön minden használt VLAN-
étól.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/32
étól.� A trönköt kapcsoljuk „on”-ba, ne hagyjuk hogy tárgyalásos úton jöjjön
létre.� Határozzuk meg, hogy mely VLAN-ok forgalma haladhasson át a
trönkön.
Védekezés a VLAN -ok elleni támadásokkal szemben
VLAN hozzáférési listák (ACL)Típusai:
1. Router ACL (RACL) 3. rétegű kapcsoló esetén. Irányított vagy SVI (Switched Virtual Interface) portra alkalmazható. Standard/extended.
2. Port ACL (PACL). 2. rétegű portra, trönk portra vagy Etherchannel portra alkalmazható. Szűrheti az IP forgalmat IP ACL használatával, vagy nem IP forgalom esetén MAC-címek használatával.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/33
Védekezés a VLAN -ok elleni támadásokkal szemben
VLAN hozzáférési listák (ACL)Típusai:
3. VLAN ACL (VACL). 3. rétegű kapcsoló esetén. 2. és 3. rétegű paraméterek alapján lehet szűrni. Nem irányfüggő (input/output).A VLAN-ok közötti vagy VLAN-on belüli forgalom szűrhető.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/34
Védekezés a VLAN -ok elleni támadásokkal szemben
Pirvate VLAN-ok
• Korlátozhatjuk a VLAN-on belüli forgalmat. Pl. szolgáltatói hálózatban lévő szerverek, amelyek több előfizetőt is kiszolgálnak.
• Private VLAN nélkül ez úgy oldható meg, hogy egyetlen portból álló VLAN-okat hozunk létre, és az ezek közötti forgalmat 3. rétegű eszközzel szűrjük. Ez nem gazdaságos:
• Túl sok irányított interfészre volna szükség• A STP túl sok erőforrást emésztene fel
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/35
• A STP túl sok erőforrást emésztene fel• Túl sok alhálózatot kellene létrehozni• Túl sok ACL-t kellene létrehozni
Védekezés az átejtés (spoofing) támadásokkal szemben
DHCP átejtés (spoof) támadás
• A támadó DHCP szerverként viselkedik, válaszol a DHCP kérésekre, saját magát adja meg alapértelmezett átjárónak vagy DNS szervernek.
• Ha a támadó előbb válaszol a DHCP kérésekre mint a valódi DHCP szerver, a kérelmező a támadó gép ajánlatát (IP-cím, alapértelmezett átjáró, DNS szerver, stb.) fogadja el.
• Ezáltal man-in-the-middle támadást hajt végre. A megtámadott eszköz minden forgalmát felhasználja, majd továbbítja a kívánt hálózatba.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/36
minden forgalmát felhasználja, majd továbbítja a kívánt hálózatba.
Védekezés az átejtés (spoofing) támadásokkal szemben
Védekezés DHCP átejtés támadással szemben: DHCP snoop ing (Cisco)• Megadható, hogy a kapcsoló mely portjai válaszolhatnak DHCP kérésekre,
és melyek fogadhatnak DHCP válaszokat.• A trusted (megbízható) portok DHCP válaszokat fogadhatnak, és uplinkként
viselkednek a DHCP szerverek felé.• Az untrusted (nem megbízható) portok csak DHCP kéréseket fogadhatnak.
Nem fogadhatnak DHCPOFFER, DHCPACK és DHCPNAK üzeneteket.
A DHCP folyamat során egy ún. DHCP
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/37
A DHCP folyamat során egy ún. DHCP binding table készül az ‘untrusted’ portokon a következő adatokkal:
• ügyfél MAC-címe,• IP-címe,• bérleti idő,• típus,• VLAN ID,• port ID
Védekezés az átejtés (spoofing) támadásokkal szemben
Védekezés IP forrás-cím hamisítással szemben: IP sour ce guard • Egy nem megbízható port kezdetben csak a DHCP kéréseket fogad.• Miután a portra csatolt gép megkapta az IP címét, már csak olyan
csomagokat fogad a géptől, amelynek forrás IP címét DHCP-vel közvetítette a gép felé.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/38
Védekezés az átejtés (spoofing) támadásokkal szemben
Az Address Resolution Protocol (ARP) átejtés
• A ‘B’ támadó eszköz kéretlen ARP választ küld az ‘C’ forgalomirányítónak: az ‘A’ gép MAC-címe B.B.B.B, IP-címe: 10.1.1.2
• A ‘B’ támadó eszköz kéretlen ARP választ küld az ‘A’ gépnek: a forgalomirányító MAC-címe B.B.B.B, IP-címe: 10.1.1.1
• Ezután a forgalomirányító és az ‘A’ gép közötti forgalmat a ‘B’ gép közvetíti.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/39
Védekezés az átejtés (spoofing) támadásokkal szemben
Védekezés Address Resolution Protocol (ARP) átejtéssel szemben: Dynamic ARP Inspection (DAI)
DAI ellenőrzi az ARP üzenetek érvényességét a DHCP snooping database-ben.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/40
Védekezés az átejtés (spoofing) támadásokkal szemben
Védekezés Address Resolution Protocol (ARP) átejtéss el szemben: Dynamic ARP Inspection (DAI)
• Ellenőrzés nélkül továbbítja trusted porton érkező ARP csomagokat.• Lehallgatja az untrusted porton érkező ARP csomagokat.• Továbbítás előtt ellenőrzi az elfogott ARP csomagokat, hogy érvényes IP-
MAC-cím párosítással rendelkeznek-e.• Eldobja és/vagy naplózza az érvénytelen IP-MAC-cím párosítással
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/41
rendelkező ARP csomagokat.• A hozzáférési portok ‘untrusted’, a többiek pedig ‘trusted’ típusúak.
A DAI a DHCP snooping-gal együtt használható!
A kapcsolót ér ő támadások
A Disco Discovery Protocol (CDP)
• A CDP segítségével Cisco eszközök azonosítják egymást és néhány fontos jellemzőjüket cserélik ki: képesség, IP-cím, MAC-cím, stb.
• A CDP a 2. rétegben működik.• Csak a közvetlen szomszédok cserélnek információt.• Az információ nyílt szövegben halad, lehallgatható.• A CDP néhány menedzsment alkalmazáshoz
elengedhetetlenül szükséges.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/42
elengedhetetlenül szükséges.• Kapcsoljuk ki a CDP-t minden olyan porton,
ahol nem feltétlenül szükséges használni.
A kapcsolót ér ő támadások
A Telnet sérülékenysége
• Minden adat nyílt szövegben halad (felhasználónév, jelszó is).• Azonosítóval rendelkező felhasználó emelt szintű privilégiumokkal
rendelkezik.• Egy támadó megszakíthatja a legitim felhasználó telnet kapcsolatát (DoS).• Megfelelő azonosító és jelszó birtokában a támadó egy egész tartomány
kapcsolóihoz hozzáférhet.• Az SSHv2-t használjuk telnet helyett.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/43
• Az SSHv2-t használjuk telnet helyett.• A Telnet-et a virtuális terminálon (vty) alkalmazott ACL-lel használjuk,
meghatározott gép(ek)ről.
A kapcsolót ér ő támadások
Az SSH használata
• Erős hitelesítést és titkosítást végez.• Felváltja az rlogin, rsh, rcp, rdist és telnet protokollt.• Az SSHv1 sérülékeny.• Ahol lehet az SSHv2-t kell használni.
• Switch(config)# username Dodo password titok
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/44
• Switch(config)# username Dodo password titokSwitch(config)# ip domain-name sshtest.labSwitch(config)# crypto key generate keySwitch(config)# line vty 0 15Switch(config-line)# login localSwitch(config-line)# transport input ssh
• Ügyfélprogram pl.: PuTTY, SecureCRT.
A kapcsolót ér ő támadások
A vty vonalakra alkalmazható ACL-ek
• Meghatározható, hogy mely IP-címekről lehessen bejelentkezni a terminál vonalakon (vty) a kapcsolóba.
• Switch(config)# access-list 12 permit 192.168.1.0 0.0.0.255Switch(config)# line vty 0 15Switch (config-line)# access-class 12 in
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/45
• A vty vonalak száma platform függő.• Minden portra azonos megszorításokat célszerű alkalmazni.• Azonos a forgalomirányítókon használt konfigurációval.
A legjobb gyakorlat a kapcsolók biztonságára
A hálózatot ér ő biztonsági fenyegetések: • Forgalom lehallgatása• Adatlopás• Visszaélés más nevével• Adatintegritás megsértése
A kapcsolt hálózat létesítésekor, vagy új eszközök tel epítésekor a vállalati biztonsági politikát kell figyelembe venni .
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/46
• Tegyük biztonságossá a kapcsolókat.• Tegyük biztonságossá a kapcsoló protokollokat.• Enyhítsük a kapcsoló segítségével elkövethető támadásokat.
A teljes hálózatot, annak minden eszközét és protokoll ját együttesen kell biztonságossá tenni.
A legjobb gyakorlat a kapcsolók biztonságára
Egy jól kialakított biztonsági politika jellegzetessé gei: • Megadja a hálózat biztonsága ellenőrzésének (audit) folyamatát.• Általános keret ad a hálózati biztonság magvalósításához.• Leírja az elektronikus adatok kezelésével szembeni nem megengedett
eljárásokat.• Meghatározza, hogy milyen eszközökre és eljárásokra van szükség a
vállalatnál.• Konszenzust teremt a legfőbb döntéshozók között, és meghatározza a
felhasználók és a rendszergazdák felelősségét.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/47
felhasználók és a rendszergazdák felelősségét.• Meghatározza a hálózat biztonságot érintő incidensek kezelésének
folyamatát.• Magában foglalja az összes telephelyet érintő, vállalati szintű biztonság
megvalósításának és végrehajtásának tervét.
A legjobb gyakorlat a kapcsolók biztonságára
A kapcsoló biztonságát növel ő gyakorlat: • Állítsuk be a rendszer jelszavát.• Tegyük biztonságossá a konzol fizikai elérését.• Tegyük biztonságossá a Telnet elérést.• Használjuk az SSH-t, ahol csak lehet.• Konfiguráljuk a ‘banner’-t (figyelmeztetés bejelentkezéskor).• Használjuk a naplózásra a Syslog-ot, ha lehet.• Kapcsoljuk ki a kapcsoló nem használt szolgáltatásait. Pl.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/48
• Kapcsoljuk ki a kapcsoló nem használt szolgáltatásait. Pl.no service tcp-small-serversno service udp-small-serversno service fingerno service config
• Állítsuk le a http szolgáltatást, ha nem használjuk.• Kapcsoljuk ki a CDP-t minden olyan interfészen, ahol nem szükséges.• Tegyük biztonságossá a feszítőfa topológiát.
A legjobb gyakorlat a kapcsolók biztonságára
A kapcsoló biztonságát növel ő gyakorlat: (folytatás) • Tegyük biztonságossá a nem használt kapcsoló portokat:
� állítsuk le az interfészt� helyezzük egy nem használt VLAN-ba� konfiguráljuk access portként, nehogy automatikusan trönkké váljon
• Kapcsoljuk ki a trönk automatikus, tárgyalásos létesítésének lehetőségét.
• Használjunk port-biztonságot.
Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/49
• Konfiguráljuk a DHCP snooping-ot.• Konfiguráljuk a Dynamic ARP Inspection-t (DAI).
top related