Bezpečná konfigurace přepínače a směrovače Flashcards
Základní postupy konfigurace, bezpečnostní funkce, útoky, Port Security, port Fast, hardening.
Zařízení vrstev
L1: rozbočovač(hub) a opakovač (repeater)
L2: most (bridge) a přepínač (switch)
L3: směrovač (router), přepínač (switch) a brána (gateway)
L4-L7: sondy, brány, firewally…
Postup Bezpečné konfigurace
1) Fyzické zabezpečení přístupu (klíče kódy, biometrie),
2) Připojení k UPS
3) Nepoužívané fyzické porty umístit do “mrtvé” VLAN
4) Zkontrolovat požadavky na síťový přístup (HTTPS, SSh klíče, logování přístupů)
5) Vypnout služby a porty, které nejsou využívány
6) Zapnout bezpečnostní funkce (DHCP snooping, MAC filtering/Port Security, AAA, IPS, VPN)
7) Zálohovat konfigurace - aby se v případě poruchy daly obnovit nastavení
8) Otestovat nastavení
9) ověřovat, aktualizovat software a firmware (manuálně nebo přes management protokoly)
Zabezpečení Přepínače (Switch)
1) Port Security - Omezení počtu MAC adres na port: Konfiguruje se maximální počet zařízení, která mohou být připojena ke konkrétnímu portu.
2) BPDU Guard - ochrana před zasíláním BPDU zpráv (Spannign tree) na porty, které by takové zprávy v normálním provozu z těchto portů nedostaly.
3) Root Guard - zabraňuje nahrazení Root Bridge spoofovanou zprávou od útočníka, nastaví
všechny root porty pro STP.
4) Storm Control - omezení broadcast, multicast a unicast provozu
5) DHCP Snooping - Ochrana proti falešným DHCP serverům
6) VLANs: Oddělení provozu na základě logických sítí.
7) Spanning Tree Protocol (STP) a PortFast: Prevence smyček a rychlé připojení koncových zařízení.
8) IP Source Guard: Blokování provozu z neautorizovaných IP adres.
9) Dynamic ARP Inspection (DAI): Prevence ARP spoofingu (odposlech pomocí ARP protokolu).
Zabezpečení Směrovače (Router)
1) Access Control Lists (ACL): Omezují provoz na základě IP adres, protokolů nebo portů.
2) Autentizace směrovacích protokolů: Ochrana před manipulací se směrovacími tabulkami.
3) VPN: Šifrované propojení vzdálených sítí.
4) Firewall: Kontrola a filtrování síťového provozu.
5) Logování: Záznamy o provozu a událostech pro analýzu
Útoky na přepínač (Switch)
1) MAC address spoofing - příjem cizích dat pomocí nelegitimní změny směrovacích tabulek¨
2) ARP Poisoning - úprava ARP cache vede k MitM
3) Rogue DHCP Server Spoofing (falešný DHCP server odpovídá rychleji → MitM, DoS)
4) DHCP Starvation (DHCP je zaplaven velkým množstvím dotazů s cílem vyčerpání paměti IP adres)
5) MAC Flooding: Zaplavení přepínače falešnými MAC adresami.
6) Broadcast Storm: Nadměrný broadcast provoz zahlcuje síť.
7) LAN storm (přepínače přeposílají broadcast všemi
porty, čímž se přetíží CPU a dojde k DoS).
8) MAC address table overflow (vyčerpá se MAC tabulka adres na přepínači, který se přepne na HUB a data posílá všemi porty)
9) ARP Spoofing: Manipulace s ARP tabulkami, umožňuje odposlech komunikace.
10) VLAN hopping- Cisco switche mají defaultně zapnutý protokol DTP (dynamic trunking protocol). Po připojení rogue switche s DTP nastaveným na desirable, stane se z linku trunk. Díky tomu je možné komunikkovat s více VLANy.
Útoky na směrovač (Router)
1) Rogue Routing: Falešné směrovací aktualizace.
2) DDoS útoky: Útoky zahlcující síťové prostředky.
3) Man-in-the-Middle (MitM): Odposlech a modifikace provozu.
4) Neoprávněný přístup: Zneužití nezabezpečeného managementu.
