készítette: dr. schubert tamás Óbudai...

Kapcsolók biztonsága

Schubert Tamás Az intézményi informatikai biztonság tervezéseKapcsolók biztonsága/1

Készítette:Dr. Schubert Tamás

Óbudai Egyetem

Kapcsolók biztonságaTartalom

• A feszít őfa protokoll (Spanning Tree Protocol)• Virtuális LAN-ok (VLAN)• Virtuális LAN, trönk használata• Virtuális LAN, IEEE 802.1Q címkézés• Kapcsolók biztonsága• A MAC réteget ér ő támadások• A VLAN -t érő támadások


• A VLAN -t érő támadások• A kapcsolót ér ő támadások• A port-biztonság lehet őségei• Authentication, authorization, and accounting (AAA)• Védekezés a VLAN-ok elleni támadásokkal szemben• Védekezés az átejtés (spoofing) támadásokkal szemben• A kapcsolót ér ő támadások• A legjobb gyakorlat a kapcsolók biztonságára

Feszítőfa protokoll (Spanning tree)Redundáns összeköttetések

• A kapcsolt hálózatokban gyakran használnak redundáns összeköttetéseket.• Ezek növelik a megbízhatóságot, a hibatűrést.• A redundancia növeli a költségeket. Egyensúlyt kell teremteni a költségek és a

rendelkezésre állás mértéke között.• A redundáns összeköttetések (fizikai hurkok) broadcast viharokat, többszörös

kerettovábbítást és instabil MAC címtáblázatokat okozhatnak.


SzerverekGerinchálózatMunka-csoport

S1

S2

S3

S4

S5

S6

S7

Feszítőfa protokollRedundáns összeköttetések

• A Spanning-Tree Protocol (STP) hurokmentes logikai hálózatot épít fel hurkokat tartalmazó fizikai hálózaton az adatkapcsolati rétegben.

• A protokoll egy kapcsolókból, portokból és összeköttetésekből álló logikai fastruktúrát hoz létre, amely az átviteli kapacitás szempontjából lehetőleg optimális összekötetést biztosít a kapcsolók között.

Feszítőfa


SzerverekGerinchálózatMunka-csoport

S1

S2

S3

S4

S5

S6

S7

Feszítőfa

Feszítőfa protokollSpanning tree protokollok: IEEE 802.1d, IEEE 802.1w

• A kapcsolók ún. bridge protocol data unit (BPDU) keretek segítségével érintkeznek egymással.

• A protokoll végrehajtásának eredményeképpen bizonyos kapcsolók, portok és összeköttetések blokkolt állapotba kerülnek, adattovábbítást nem végeznek.

• Topológiaváltozás vagy meghibásodás esetén a blokkolt portok gyorsan aktív állapotba kerülhetnek és a teljes hálózat újra összefüggő lesz.

• A feszítőfa kialakításához, újraszámolásához kb. 50 másodpercre van


• A feszítőfa kialakításához, újraszámolásához kb. 50 másodpercre van szükség.

• Azon portoknak, amelyekre szervereket és munkaállomásokat kapcsolunk nem kell részt venniük a feszítőfa kialakításában, hiszen mindig kerettovábbítási üzemmódban lesznek, sosem blokkolódnak. Ha ezeket ún. „portfast” módba kapcsoljuk, azonnal képesek lesznek kerettovábbításra.

Virtuális LAN (VLAN)• Virtuális LAN-okat a kapcsolókban konfigurálás révén hozzuk létre.• A kapcsoló bizonyos portjait az egyik VLAN-hoz, más portjait egy másik VLAN-

hoz rendeljük, stb.• Az egyes VLAN-okhoz rendelt gépek azonos IP hálózathoz (alhálózathoz)

tartoznak, azaz IP címük hálózati része azonos.• A VLAN-ok között a kapcsolóban nincs átjárás. Sem az egyedi címmel ellátott

(unicast), sem a szórásos, sem az elárasztásos keretek nem jutnak át.• VLAN-ok között csak forgalomirányítóval teremthetünk kapcsolatot, ugyanúgy,

mint a valódi LAN-ok között.


mint a valódi LAN-ok között.

VLAN 1. VLAN 2.

Virtuális LANA VLAN-ok létrehozásának okai:

• A gépeket csoportosíthatjuk szervezeti egység szerint, közös alkalmazások használata szerint.

• A szórásokat kordában tarthatjuk. A szórások nem jutnak át másik VLAN-ba.

• A hálózat biztonsága növelhető. Adatkapcsolati rétegben a különböző VLAN-okba tartozó gépek nem kommunikálhatnak egymással.

192.168.1.1/24 192.168.2.1/24


VLAN 1. VLAN 2.

192.168.1.2/24 192.168.1.3/24 192.168.2.2/24 192.168.2.3/24

Virtuális LANA VLAN-ok létrehozásának okai (folytatás):

• Különböző VLAN-ok között forgalomirányítóval teremthető kapcsolat.• A forgalomirányítóban megfelelő védelmi mechanizmusokat lehet

alkalmazni, amelyekkel szabályozzuk a VLAN-ok közötti forgalmat (hozzáférési listák).

192.168.1.1/24 192.168.2.1/24

192.168.2.99/24192.168.1.99/24


VLAN 1. VLAN 2.

192.168.1.2/24 192.168.1.3/24 192.168.2.2/24 192.168.2.3/24

Virtuális LANPortok VLAN-okhoz rendelése

• Statikus� Statikus hozzárendelés esetén konfiguráljuk, hogy melyik port, melyik

VLAN-ba tartozzon.

• Dinamikus

� Dinamikus hozzárendelés esetén egy VLAN felügyeleti szerverben (többnyire egy erre alkalmas kapcsoló) előre rögzítjük, hogy a különböző MAC című készülékek melyik VLAN-ba tartozzanak.


MAC című készülékek melyik VLAN-ba tartozzanak.� A készülékek tetszőleges portra csatlakoztathatók.� Az első keret küldésekor a kapcsoló a szerverhez fordul, lekéri az adott

MAC című eszköz VLAN azonosítóját, ezután a kapcsoló portját a megadott VLAN-ba sorolja.

� Ezzel a gépek tetszőleges porthoz csatlakoztathatók, VLAN hozzárendelésük nem változik.

Virtuális LANTöbb kapcsolóra kiterjesztett VLAN-ok: Trunk (trönk)

• A VLAN-ok több kapcsolóra is kiterjedhetnek.• Az ábrán a VLAN 1-be és a VLAN 2-be tartozó gépek mindkét kapcsolón

jelen vannak.• A kapcsolókat trönk portokon keresztül kapcsoljuk össze.• Egyes kapcsolótípusoknak csak kitüntetett portjai (pl. nagyobb sebességű

portok), másoknak valamennyi portja konfigurálható trönk portként.• A trönk portok egyik VLAN-ba sem tartoznak, alapesetben az összes VLAN


• A trönk portok egyik VLAN-ba sem tartoznak, alapesetben az összes VLAN forgalmát továbbítják. Általában konfigurálható, hogy mely VLAN-okat továbbítsák.

Trönk: VLAN 1. + VLAN 2.

192.168.1.0/24 192.168.2.0/24

VLAN 2.VLAN 1.VLAN 1.VLAN 2.

192.168.1.0/24192.168.2.0/24

Virtuális LANTöbb kapcsolóra kiterjesztett VLAN-ok: Trönk (folyta tás)

• A trönk vonalon áthaladó kereteket a kapcsoló címkével látja el, amely tartalmazza a keret VLAN azonosítóját is. A másik kapcsolónak tudnia kell, hogy a keret melyik VLAN-ba tartozik.

• Amíg a keret a gerinchálózaton (trönkön) halad a címke a kereten marad, mihelyt a kapcsoló a keretet egy nem-trönk porton küldi ki, eltávolítja a VLAN címkét.

• A trönk protokoll szabványos: IEEE 802.1Q (dot1q). A különböző gyártók kapcsolói így együttműködhetnek.


kapcsolói így együttműködhetnek.• Más nem szabványos gyári protokollok is léteznek (pl. Cisco ISL).• A több kapcsolóra kiterjesztett VLAN-ok előnye, hogy a helytől függetlenül

csoportosíthatjuk a munkaállomásokat VLAN-okba.Ha pl. a VLAN 1 hálózatból egy munkaállomást át kell helyezni egy másik épületbe, a kapcsolónak egy portját a másik épületben a VLAN 1-hez kell rendelni, a munkaállomás megtarthatja az IP címét.

• Ha egy állomást másik VLAN-ba kell tennünk, IP címét a másik hálózatból kell adnunk.

• A Spanning Tree Protocol-t minden VLAN-ra külön kell alkalmazni.

Virtuális LANTöbb kapcsolóra kiterjesztett VLAN-ok: Trönk (folyta tás)

• A VLAN-ok között forgalomirányítóval lehet adatot cserélni.• Használhatnánk minden VLAN-ra külön-külön forgalomirányító-portot. Ez

nem gazdaságos sok VLAN esetén.• A forgalomirányító portjait is lehet trönkként konfigurálni.

Alinterfészeket kell létrehozni egy fizikai interfészen, és az egyes alinterfészeket a VLAN-okhoz rendelni.

• Az alinterfészeknek ez esetben a saját VLAN-beli IP címet kell adnunk.


Trönk: VLAN 1. + VLAN 2.

192.168.1.0/24 192.168.2.0/24

VLAN 2.VLAN 1.VLAN 1.VLAN 2.

192.168.1.0/24192.168.2.0/24

Ez is trönkvonal!

Virtuális LANIEEE 802.1Q címkézés

• A trönk kapcsolaton egy VLAN-címkével ellátott keret halad keresztül.• Amikor a keret hozzáférési porton hagyja el a kapcsolót, a kapcsoló a címkét

eltávolítja a keretből.• A címke mezői:

� EtherType: EtherType 0x8100 jelzi, hogy ez egy 802.1Q keret� PRI: 3 bits; a keret prioritását jelzi (IEEE 802.1p protokoll)� Token Ring Encapsulation Flag: 0� VID: A keret VLAN tagságát jelzi



• A kapcsolók az ISO OSI referencia modell 2. rétegében működnek.• A 2. rétegben is számtalan támadás érheti a hálózatokat.• A kapcsolókban számos biztonsági lehetőség létezik, ezeket megfelelően

kell konfigurálni.• A forgalomirányítókhoz hasonlóan a kapcsolókban is rendelkezésre állnak

a hozzáférési listák (ACL) a magasabb rétegben működő protokollok védelmére.


Illegális második réteg ű eszközök• Illegális (csaló) 2. rétegű eszközök csatlakoztatása a hálózathoz

� A vállalat dolgozói által (az üzemeltető személyzet tudta nélkül helyezik el). Általában a biztonsági megoldásokat mellőzik, ezáltal a belső hálózat sérülékennyé válik.

� Ártani szándékozó külső személyek által (igyekeznek fizikailag is elrejteni az eszközöket)



Ilyen eszközök:• Kapcsolók (Switch)• Hozzáférési pontok (Access

Point)• Hidak (Bridge)• Ismétlők (Hub) (OSI 1.

réteg)

Kapcsoló illegális csatlakoztatása a hálózathoz lehetővé teszi a támadó részére, hogy:

� Manipulálja a feszítőfa protokollt� Hop VLAN-t hozzon létre� Lehallgassa a hálózati forgalmat

A kalóz kapcsolók lehetnek trönk képességgel felruházott egyszerű munkaállomások is.



munkaállomások is.

A kapcsolót ér ő támadások fajtái:• A MAC réteget érő támadás• A VLAN-t érő támadás• Átejtés (spoofing)• A kapcsolót érő támadás

A MAC réteget ér ő támadásokTámadási mód Leírás Az elhárítás lépései

MAC cím elárasztás

A támadó nem létező egyedi forrás MAC című keretekkel árasztja el a kapcsolót.A kapcsolótábla megtelik. Ekkor a létező MAC címekre irányuló keretek elárasztással minden portra eljutnak, mivel új címek már nem férnek be a kapcsolótáblába.

Port biztonság beállítása.MAC cím – VLAN térkép


nem férnek be a kapcsolótáblába.

A VLAN -t érő támadásokTámadási mód Leírás Az elhárítás lépései

VLAN hopping A támadó megváltoztatja a VLAN ID-t a keretben. A támadó eszköz küldhet és fogadhat kereteket különböző VLAN-okba ill. VLAN-okból, megkerülve a 3. rétegű biztonsági szűrést.

Ne konfiguráljuk a portokat, úgy, hogy automatikusan felépítsék a trönk-működést.A nem használt portokathelyezzük közös VLAN-ba.


Azonos VLAN-on lévő eszköz támadása

Szükséges lehet az azonos VLAN-on lévő készülékek védelme egymással szemben is.Pl. szolgáltatói hálózatban lévő szerverek, amelyek több előfizetőt is kiszolgálnak.

Privát VLAN-ok (PVLAN) létrehozása

Átejtés (spoofing)Támadási mód Leírás Az elhárítás lépései

DHCP kiéheztetésDHCP átejtés (spoofing)

A támadó eszköz kimeríti a rendel-kezésre álló IP címtartományt.Beállítja magát DHCP szervernek és man-in-the-middle támadást hajt végre.

DHCP szimatolás (snooping)


Spanning Tree kompromittá-lás

A támadó eszköz gyökérponti hídnak (Root bridge) állítja be magát az STP-fában. Ezáltal a forgalom nagy része rajta halad keresztül.

Az elsődleges és a másodlagos gyökérponti híd kézi beállítása.Root guardengedélyezése.

Átejtés (spoofing)Támadási mód Leírás Az elhárítás lépései

MAC átejtés (spoofing)

A támadó eszköz a kapcsoló táblában már bent lévő eszköz MAC-címét használja. A kapcsoló ezután az igazi eszköznek szánt kereteket a hamis eszköznek küldi.

DHCP szimatolás (snooping) konfigurá-lása.Port-biztonság konfigurá-lása.


Address Resolution Protocol (ARP) átejtés

A támadó eszköz válaszol az igazi helyett az ARP kérésre, megadva a saját MAC-címét.

Dinamikus ARP vizsgálat.DHCP szimatolás (snooping) konfigurá-lása.Port biztonság konfigurá-lása.

A kapcsolót ér ő támadásokTámadási mód Leírás Az elhárítás lépései

Cisco Discovery Protocol (CDP) manipulálása

A CDP protokoll üzenetei titkosítás és hitelesítés nélkül haladnak a hálózati összeköttetésen. Ez lehallgatható és információ nyerhető a hálózati topológiáról.

CDP kikapcsolása minden olyan porton, amelyen a CDP nélkülözhető.


Secure Shell Protocol (SSH) és Telnet támadás

A Telnet protokoll csomagjai nyílt szövegként haladnak a hálózaton.Az SSH hitelesít és titkosít, de az SSHv1 biztonsági szempontból nem tökéletes.

Az SSHv2-t kell használni a kapcsoló konfigurálására.A Telnet-et a virtuális terminálon (vty) alkalmazott ACL-lelhasználjuk, hogy csak meghatározott gép(ek)rőllehessen bejelentkezni a kapcsolóra.

MAC cím elárasztás• A támadó nem létező egyedi forrás MAC című keretekkel árasztja el a

kapcsolót.• A kapcsolótábla megtelik. Létező MAC címekre irányuló keretek

elárasztással minden portra eljutnak. Ez egyben DoS támadás is.• A port biztonság konfigurálása lehetővé teszi, hogy maximáljuk az egy

porton bejegyezhető MAC-címek számát és megadjuk, hogy melyek ezek a

MAC-címek.


A port-biztonság lehet őségei

• Megadhatjuk, hogy maximálisan hány MAC-cím jegyezhető be egy-egy porthoz.

• Megadhatjuk az adott portra csatlakozó eszközök MAC-címeit.• Megadhatjuk, hogy mi történjen a portbiztonság megsértése esetén:

� Protect : a keretet eldobja, nincs log üzenet.� Restrict : a keretet eldobja, log üzenet küld és SNMP trap-et generál.� Shut down : a keretet eldobja, log üzenet küld és SNMP trap-et generál

és a portot error disabled állapotba helyezi. Ez csak kézi beavatkozással oldható fel.


beavatkozással oldható fel.

Authentication, authorization, and accounting (AAA)

A hozzáférés szabályozása• Authentication - hitelesítés: ellenőrzi a felhasználó azonosságát• Authorization - engedélyezés: meghatározza, mit tehet a felhasználó• Accounting - könyvelés: számlázás, ellenőrzés, megfigyelés

Ez három független szolgáltatás. Csak a hitelesítéssel foglalkozunk.


Authentication - Hitelesítés• A felhasználót hitelesíteni kell, mielőtt hozzáférhetne a hálózat

szolgáltatásaihoz.• Egy listát kell megadni, amely tartalmazza a lehetséges hitelesítési

módszereket.• A listában az egyes módszereket sorrendben kell alkalmazni.• A listát azután interfészekhez kell hozzárendelni.• Az AAA RADIUS, TACACS+ vagy 802.1x protokollt használ a biztonsági

feladat ellátásához.• A Cisco IOS által használt hitelesítési módok:

Enable password


� Enable password� Kerberos 5� Kerberos 5 Telnet hitelesítés� Line password (konzol)� Helyi adatbázis� Helyi adatbázis kis/nagy betű megkülönböztetésével� RADIUS� TACACS+

802.1x port-alapú hitelesítés• Az IEEE 802.1x szabvány definiálja a port-alapú hozzáférés vezérlés és

hitelesítés protokollt, amely korlátozza a hitelesítetlen eszközök hozzáférését a kapcsoló portokhoz.

• A hitelesítő szerver hitelesít minden munkaállomást, amely csatlakozik a kapcsoló portokhoz, mielőtt megengedné az állomás hozzáférését a hálózati szolgáltatásokhoz.

• A hitelesítés folyamata alatt a 802.1x hozzáférés vezérlés csak az Extensible Authentication Protocol over LAN (EAPOL) forgalmat engedélyezi a kapcsoló porton.


802.1x port-alapú hitelesítés• A kapcsoló port kezdetben unauthorized (hitelesítetlen) állapotban van.• A hitelesítés akkor kezdődik, amikor a link létrejön az állomás és a

kapcsoló port között, vagy az állomás küld egy EAPOL-start keretet.• Sikeres hitelesítés után a kapcsoló port authorized (hitelesített) állapotba

kerül.• Amikor a felhasználó kijelentkezik, küld a kapcsolónak egy EAPOL-logoff

üzenetet. A port unauthorized állapotba kerül.• A kapcsoló a hitelesítési módszerek listájának első helyén lévő módszerrel

próbálja hitelesíteni a munkaállomást. Ha a munkaállomás ezt nem támogatja, a soron következővel próbálkozik.


támogatja, a soron következővel próbálkozik.• Ha a hitelesítési módszert kiválasztják, és a hitelesítés nem sikerül, nem

kerül sor új módszer kiválasztására.

Védekezés a VLAN -ok elleni támadásokkal szemben

VLAN hopping• A támadó eszköz trönk automatikus létrehozását kezdeményezi.• Ha a kapcsolóport szintén a trönk automatikus létrehozásra van

konfigurálva, akkor ez sikeres lehet.• A támadó eszköz hozzáférhet minden olyan VLAN forgalmához, amelyik a

trönkön áthaladhat:� szórásos (broadcast)� többes címzésű (multicast)� ismeretlen cél-című keretek


� ismeretlen cél-című keretekEzekhez egyébként normális végállomásként nem férne hozzá.


A VLAN hopping megvalósításának két módszere van:

• VLAN hopping kapcsoló átejtéssel (switch spoofing)• VLAN hopping 2-szeres címkézéssel (double tagging)

VLAN hopping kapcsoló átejtéssel (switch spoofing)• A létrehozott trönk kapcsolaton a támadó állomás küldhet és fogadhat


• A létrehozott trönk kapcsolaton a támadó állomás küldhet és fogadhat kereteket bármelyik VLAN-ba ill. VLAN-ból, amely a trönkön áthaladhat.


VLAN hopping 2-szeres címkézéssel (double tagging)• A 2-szeres címkézés lehetővé teszi, hogy egy keretet a forrás VLAN-étól

különböző VLAN-ba küldjünk.



VLAN hopping 2-szeres címkézéssel (double tagging)

Natív VLAN:� Minden trönk portnak van egy ún. natív VLAN-ja.� A natív VLAN-ba tartozó keretek címkézetlenül haladnak át a trönkön!

• A támadó állomás szórásos, többes címzésű vagy ismeretlen cél-című keretet küld két 802.1Q címkével (VLAN 10) az első kapcsolónak.

• A kapcsoló eltávolítja a külső címkét, majd továbbítja az össze portra,


• A kapcsoló eltávolítja a külső címkét, majd továbbítja az össze portra, amely azonos VLAN-ban van a címkében foglalt VLAN-nal.

• Ha a második kapcsoló felé induló trönk port natív VLAN-ja (10-es) azonos VLAN-ban van annak a portnak a natív VLAN-jával, amelyen belépett az első kapcsolón, nem címkézi újra a keretet, hanem továbbítja a trönkön a belső VLAN-címkével. A második kapcsoló eltávolítja a címkét (20-as), és kiküldi az összes VLAN-20-ba tartozó porton.

• Ha a trönk port natív VLAN-ja különbözik a bejövő port VLAN-jától, a keret a trönkön kétszeres címkével halad tovább, és a második kapcsolónak csak a 10-es VLAN-ba tartozó portjain fog kijutni. Ez esetben nincs VLAN hopping.


Védekezés a VLAN hopping támadással szemben

• Minden nem használt kapcsoló portot hozzáférési portként (access port) konfiguráljunk. Így tárgyalásos trönk kialakítás nem lehetséges.

• Soroljunk minden nem használt portot egy olyan VLAN-ba, amelyet nem használunk forgalom továbbítására, és kapcsoljuk ki (shutdown).

• Trönk konfigurálásakor tartsuk be a következő szabályokat:� A trönk port natív VLAN tagsága különbözzön minden használt VLAN-

étól.


étól.� A trönköt kapcsoljuk „on”-ba, ne hagyjuk hogy tárgyalásos úton jöjjön

létre.� Határozzuk meg, hogy mely VLAN-ok forgalma haladhasson át a

trönkön.


VLAN hozzáférési listák (ACL)Típusai:

1. Router ACL (RACL) 3. rétegű kapcsoló esetén. Irányított vagy SVI (Switched Virtual Interface) portra alkalmazható. Standard/extended.

2. Port ACL (PACL). 2. rétegű portra, trönk portra vagy Etherchannel portra alkalmazható. Szűrheti az IP forgalmat IP ACL használatával, vagy nem IP forgalom esetén MAC-címek használatával.



VLAN hozzáférési listák (ACL)Típusai:

3. VLAN ACL (VACL). 3. rétegű kapcsoló esetén. 2. és 3. rétegű paraméterek alapján lehet szűrni. Nem irányfüggő (input/output).A VLAN-ok közötti vagy VLAN-on belüli forgalom szűrhető.



Pirvate VLAN-ok

• Korlátozhatjuk a VLAN-on belüli forgalmat. Pl. szolgáltatói hálózatban lévő szerverek, amelyek több előfizetőt is kiszolgálnak.

• Private VLAN nélkül ez úgy oldható meg, hogy egyetlen portból álló VLAN-okat hozunk létre, és az ezek közötti forgalmat 3. rétegű eszközzel szűrjük. Ez nem gazdaságos:

• Túl sok irányított interfészre volna szükség• A STP túl sok erőforrást emésztene fel


• A STP túl sok erőforrást emésztene fel• Túl sok alhálózatot kellene létrehozni• Túl sok ACL-t kellene létrehozni

Védekezés az átejtés (spoofing) támadásokkal szemben

DHCP átejtés (spoof) támadás

• A támadó DHCP szerverként viselkedik, válaszol a DHCP kérésekre, saját magát adja meg alapértelmezett átjárónak vagy DNS szervernek.

• Ha a támadó előbb válaszol a DHCP kérésekre mint a valódi DHCP szerver, a kérelmező a támadó gép ajánlatát (IP-cím, alapértelmezett átjáró, DNS szerver, stb.) fogadja el.

• Ezáltal man-in-the-middle támadást hajt végre. A megtámadott eszköz minden forgalmát felhasználja, majd továbbítja a kívánt hálózatba.


minden forgalmát felhasználja, majd továbbítja a kívánt hálózatba.


Védekezés DHCP átejtés támadással szemben: DHCP snoop ing (Cisco)• Megadható, hogy a kapcsoló mely portjai válaszolhatnak DHCP kérésekre,

és melyek fogadhatnak DHCP válaszokat.• A trusted (megbízható) portok DHCP válaszokat fogadhatnak, és uplinkként

viselkednek a DHCP szerverek felé.• Az untrusted (nem megbízható) portok csak DHCP kéréseket fogadhatnak.

Nem fogadhatnak DHCPOFFER, DHCPACK és DHCPNAK üzeneteket.

A DHCP folyamat során egy ún. DHCP


A DHCP folyamat során egy ún. DHCP binding table készül az ‘untrusted’ portokon a következő adatokkal:

• ügyfél MAC-címe,• IP-címe,• bérleti idő,• típus,• VLAN ID,• port ID


Védekezés IP forrás-cím hamisítással szemben: IP sour ce guard • Egy nem megbízható port kezdetben csak a DHCP kéréseket fogad.• Miután a portra csatolt gép megkapta az IP címét, már csak olyan

csomagokat fogad a géptől, amelynek forrás IP címét DHCP-vel közvetítette a gép felé.



Az Address Resolution Protocol (ARP) átejtés

• A ‘B’ támadó eszköz kéretlen ARP választ küld az ‘C’ forgalomirányítónak: az ‘A’ gép MAC-címe B.B.B.B, IP-címe: 10.1.1.2

• A ‘B’ támadó eszköz kéretlen ARP választ küld az ‘A’ gépnek: a forgalomirányító MAC-címe B.B.B.B, IP-címe: 10.1.1.1

• Ezután a forgalomirányító és az ‘A’ gép közötti forgalmat a ‘B’ gép közvetíti.



Védekezés Address Resolution Protocol (ARP) átejtéssel szemben: Dynamic ARP Inspection (DAI)

DAI ellenőrzi az ARP üzenetek érvényességét a DHCP snooping database-ben.



Védekezés Address Resolution Protocol (ARP) átejtéss el szemben: Dynamic ARP Inspection (DAI)

• Ellenőrzés nélkül továbbítja trusted porton érkező ARP csomagokat.• Lehallgatja az untrusted porton érkező ARP csomagokat.• Továbbítás előtt ellenőrzi az elfogott ARP csomagokat, hogy érvényes IP-

MAC-cím párosítással rendelkeznek-e.• Eldobja és/vagy naplózza az érvénytelen IP-MAC-cím párosítással


rendelkező ARP csomagokat.• A hozzáférési portok ‘untrusted’, a többiek pedig ‘trusted’ típusúak.

A DAI a DHCP snooping-gal együtt használható!

A kapcsolót ér ő támadások

A Disco Discovery Protocol (CDP)

• A CDP segítségével Cisco eszközök azonosítják egymást és néhány fontos jellemzőjüket cserélik ki: képesség, IP-cím, MAC-cím, stb.

• A CDP a 2. rétegben működik.• Csak a közvetlen szomszédok cserélnek információt.• Az információ nyílt szövegben halad, lehallgatható.• A CDP néhány menedzsment alkalmazáshoz

elengedhetetlenül szükséges.


elengedhetetlenül szükséges.• Kapcsoljuk ki a CDP-t minden olyan porton,

ahol nem feltétlenül szükséges használni.


A Telnet sérülékenysége

• Minden adat nyílt szövegben halad (felhasználónév, jelszó is).• Azonosítóval rendelkező felhasználó emelt szintű privilégiumokkal

rendelkezik.• Egy támadó megszakíthatja a legitim felhasználó telnet kapcsolatát (DoS).• Megfelelő azonosító és jelszó birtokában a támadó egy egész tartomány

kapcsolóihoz hozzáférhet.• Az SSHv2-t használjuk telnet helyett.


• Az SSHv2-t használjuk telnet helyett.• A Telnet-et a virtuális terminálon (vty) alkalmazott ACL-lel használjuk,

meghatározott gép(ek)ről.


Az SSH használata

• Erős hitelesítést és titkosítást végez.• Felváltja az rlogin, rsh, rcp, rdist és telnet protokollt.• Az SSHv1 sérülékeny.• Ahol lehet az SSHv2-t kell használni.

• Switch(config)# username Dodo password titok


• Switch(config)# username Dodo password titokSwitch(config)# ip domain-name sshtest.labSwitch(config)# crypto key generate keySwitch(config)# line vty 0 15Switch(config-line)# login localSwitch(config-line)# transport input ssh

• Ügyfélprogram pl.: PuTTY, SecureCRT.


A vty vonalakra alkalmazható ACL-ek

• Meghatározható, hogy mely IP-címekről lehessen bejelentkezni a terminál vonalakon (vty) a kapcsolóba.

• Switch(config)# access-list 12 permit 192.168.1.0 0.0.0.255Switch(config)# line vty 0 15Switch (config-line)# access-class 12 in


• A vty vonalak száma platform függő.• Minden portra azonos megszorításokat célszerű alkalmazni.• Azonos a forgalomirányítókon használt konfigurációval.

A legjobb gyakorlat a kapcsolók biztonságára

A hálózatot ér ő biztonsági fenyegetések: • Forgalom lehallgatása• Adatlopás• Visszaélés más nevével• Adatintegritás megsértése

A kapcsolt hálózat létesítésekor, vagy új eszközök tel epítésekor a vállalati biztonsági politikát kell figyelembe venni .


• Tegyük biztonságossá a kapcsolókat.• Tegyük biztonságossá a kapcsoló protokollokat.• Enyhítsük a kapcsoló segítségével elkövethető támadásokat.

A teljes hálózatot, annak minden eszközét és protokoll ját együttesen kell biztonságossá tenni.


Egy jól kialakított biztonsági politika jellegzetessé gei: • Megadja a hálózat biztonsága ellenőrzésének (audit) folyamatát.• Általános keret ad a hálózati biztonság magvalósításához.• Leírja az elektronikus adatok kezelésével szembeni nem megengedett

eljárásokat.• Meghatározza, hogy milyen eszközökre és eljárásokra van szükség a

vállalatnál.• Konszenzust teremt a legfőbb döntéshozók között, és meghatározza a

felhasználók és a rendszergazdák felelősségét.


felhasználók és a rendszergazdák felelősségét.• Meghatározza a hálózat biztonságot érintő incidensek kezelésének

folyamatát.• Magában foglalja az összes telephelyet érintő, vállalati szintű biztonság

megvalósításának és végrehajtásának tervét.


A kapcsoló biztonságát növel ő gyakorlat: • Állítsuk be a rendszer jelszavát.• Tegyük biztonságossá a konzol fizikai elérését.• Tegyük biztonságossá a Telnet elérést.• Használjuk az SSH-t, ahol csak lehet.• Konfiguráljuk a ‘banner’-t (figyelmeztetés bejelentkezéskor).• Használjuk a naplózásra a Syslog-ot, ha lehet.• Kapcsoljuk ki a kapcsoló nem használt szolgáltatásait. Pl.


• Kapcsoljuk ki a kapcsoló nem használt szolgáltatásait. Pl.no service tcp-small-serversno service udp-small-serversno service fingerno service config

• Állítsuk le a http szolgáltatást, ha nem használjuk.• Kapcsoljuk ki a CDP-t minden olyan interfészen, ahol nem szükséges.• Tegyük biztonságossá a feszítőfa topológiát.


A kapcsoló biztonságát növel ő gyakorlat: (folytatás) • Tegyük biztonságossá a nem használt kapcsoló portokat:

� állítsuk le az interfészt� helyezzük egy nem használt VLAN-ba� konfiguráljuk access portként, nehogy automatikusan trönkké váljon

• Kapcsoljuk ki a trönk automatikus, tárgyalásos létesítésének lehetőségét.

• Használjunk port-biztonságot.


• Konfiguráljuk a DHCP snooping-ot.• Konfiguráljuk a Dynamic ARP Inspection-t (DAI).

készítette: dr. schubert tamás Óbudai...

Documents