Содержание статьи
- Безопасность коммутационной матрицы CAM
- Защита DHCP-сервера от атак истощения
- Домены отказоустойчивости HSRP & GLBP
- Отключение DP
- Выключение DTP и смена NVLAN
- Риски при интеграции использованных ранее коммутаторов Cisco
- Безопасность линии VTY
- Пароли Cisco IOS
- Безопасность при работе с SNMP
- Осторожность при фильтрации ICMP
- No Full Cone NAT
- No Port Forward
- Защита от UPnP-инъекций
- Выводы
Это «VIP-ремикс» моей статьи Save Me, в которой я продемонстрировал способы защиты локальной сети от спуфинг‑атак. В этот раз я расширю обзор механизмов безопасности оборудования и опишу новые техники защиты.
Все команды я буду демонстрировать на Cisco IOS. Однако сами механизмы безопасности реализованы у всех вендоров, отличия лишь в иерархии расположения компонентов и синтаксисе.
Безопасность коммутационной матрицы CAM
CAM (Content Addressable Memory) — это ассоциативная память коммутатора, внутри которой хранится таблица MAC-адресов и связанных с ними портов. Это несложный механизм, однако уже очень давно существует хулиганский вектор DoS-атаки, при которой атакующий переполняет CAM-таблицу с помощью рассылки Ethernet-кадров с рандомизирующимися MAC-адресами источника, что перебивает коммутационную матрицу. Очень известный прием, но не упомянуть о нем я не могу.
Защитить CAM-таблицы своих коммутаторов очень просто, достаточно использовать Port Security. В нашем случае эта настройка подходит для ограничения количества MAC-адресов за портом коммутатора. Допустим, если настроим ограничение в 20 MAC-адресов на порте, а атакующий начнет в эфире флуд (каким‑нибудь macof), то к порту будут уже применяться ограничения — в зависимости от настроенной политики.
Вот пример конфигурации, при которой ставится ограничение в два MAC-адреса, а при нарушении этого ограничения порт будет выключен.
SaveMe(config)# interface range gX/X
SaveMe(config-if)# switchport port-security maximum <value>
SaveMe(config-if)# switchport port-security violation shutdown
При такой конфигурации в момент нарушения политики MAC-адресов порт будет переведен в состояние err-disabled
. Чтобы настроить автоматическое восстановление порта из этого состояния, понадобится еще одна команда:
SaveMe(config)# errdisable recovery interval 120
SaveMe(config)# errdisable recovery cause psecure-violation
Защита DHCP-сервера от атак истощения
DHCP Exhaustion — это сетевая атака, позволяющая вызвать у DHCP-сервера отказ в обслуживании. Атакующий выполняет рассылку ложных сообщений DHCPDISCOVER
с рандомными MAC-адресами источника, вынуждая DHCP-сервер отвечать на каждый такой DISCOVER и выдавать ему адрес.
Вообще, для защиты DHCP-сервера есть технология DHCP Snooping, разобранная в предыдущей версии статьи. Мы тогда разобрали концепцию защиты именно от появления ложного DHCP-сервера, а сейчас поговорим про митигацию атаки истощения адресного пространства.
DHCP Snooping также позволяет настроить Limit Rate: это параметр, отвечающий за ограничение количества DHCP-сообщений на порте коммутатора. Обычно этот Limit Rate настраивается именно на портах доступа, куда подключаются конечные станции. Сами инженеры Cisco рекомендуют использовать ограничение не более 100 пакетов в секунду, однако тут уже стоит отталкиваться от особенностей своей инфраструктуры и подбирать значение вручную. Делай это аккуратно, чтобы случайно не срезать легитимный трафик.
SaveMe(config)# interface range f0/X-XX
SaveMe(config-if)# ip dhcp snooping limit rate <count>
Также стоит включить опцию проверки MAC-адреса в кадрах внутри DHCP-пакетов:
SaveMe(config)# ip dhcp snooping verify mac-address
Если на порте окажется больше DHCP-месседжей, он просто упадет в состояние ERR-DISABLED
, будет заблокирован на логическом уровне и администратору придется самому поднимать его из этого состояния. Однако Cisco IOS предлагает автоматическое восстановление работы порта, если его заблокировал какой‑нибудь механизм защиты. Вот пример команды для автоматического восстановления порта после срабатывания Limit Rate при DHCP Snooping:
SaveMe(config)# errdisable recovery cause dhcp-rate-limit
Еще обычно настраивают таймер и задают время, через которое порт вернется из состояния ERR-DISABLED
. Тут отталкивайся от инфраструктуры и своего видения:
SaveMe(config)# errdisable recovery interval <seconds>
Домены отказоустойчивости HSRP & GLBP
Это проприетарные протоколы Cisco, предназначенные для резервирования шлюзов. Домены HSRP/GLBP могут подвергнуться атакам спуфинга, и ты к ним должен быть готов. Есть два метода защиты.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»