Difference between revisions of "Cisco L2 Security"

From HackerNet
Jump to: navigation, search
m
Line 4: Line 4:
  
 
===Frame Block===
 
===Frame Block===
Ändra beteende på en switch. Fungerar som säkerhetsmekansim om CAM går fullt för då floodas inte alla frames.
+
Ändra beteende på en switch så att unknown unicast droppas. Fungerar som säkerhetsmekansim om CAM går fullt för då floodas inte alla frames.
 
  switchport block unicast
 
  switchport block unicast
 
  switchport block multicast
 
  switchport block multicast
  
 
==Port Security==
 
==Port Security==
 +
Denna feature fungerar endast på portar som är statiskt konfigurerade som access eller trunk. Ska port security kombineras med [[Cisco_HSRP|HSRP]] bör BIA MAC användas.
 
  interface [interface]
 
  interface [interface]
 
   switchport mode access
 
   switchport mode access
Line 17: Line 18:
 
Verify
 
Verify
 
  show port-security interface
 
  show port-security interface
Ska port security kombineras med [[Cisco_HSRP|HSRP]] bör BIA MAC användas.
+
 
 +
errdisable recovery cause psecure-violation
  
 
==PACL==
 
==PACL==
Line 23: Line 25:
 
  interface gi0/2
 
  interface gi0/2
 
   ip access-group PACL in
 
   ip access-group PACL in
 +
 +
show mac access-group
  
 
==VACL==
 
==VACL==
VLAN ACL
+
VLAN ACL är ingress, kollar både lokal och transit-trafik och funkar även med non-IP traffic.
 
  access-list 100 permit ip any host 10.0.0.10
 
  access-list 100 permit ip any host 10.0.0.10
 
  vlan access-map BLOCK-TO-SERVER 10
 
  vlan access-map BLOCK-TO-SERVER 10
Line 35: Line 39:
 
  vlan filter BLOCK-TO-SERVER vlan-list 10
 
  vlan filter BLOCK-TO-SERVER vlan-list 10
  
VACL funkar också med non-IP traffic.
+
Logging
 +
vlan access-log maxflow 500
 +
vlan access-log threshold 0
  
 
==Storm Control==
 
==Storm Control==
Storm control är teknik för att låta administratörer dämpa unicast-, multicast- eller broadcast-trafik på L2-interface. Det kan användas för att reducera skadan vid broadcast-stormar. Olika switchmodeller fungerar olika när det gäller [[Cisco_EtherChannel|Etherchannels]] kontra fysiska interface för Storm control. För att konfigurera Storm control måste man ange gränsvärde (rising) men falling är optional.  
+
Storm control är teknik för att låta administratörer dämpa unicast-, multicast- eller broadcast-trafik på L2-interface. Det kan användas för att reducera skadan vid broadcast-stormar. Olika switchmodeller fungerar olika när det gäller [[Cisco_EtherChannel|EtherChannels]] kontra fysiska interface för Storm control. För att konfigurera Storm control måste man ange gränsvärde (rising) men falling är optional.  
 
  interface gi0/7
 
  interface gi0/7
 
   storm-control unicast level bps 1m 500k
 
   storm-control unicast level bps 1m 500k
Line 50: Line 56:
  
 
==802.1x==
 
==802.1x==
802.1x är ett säkerhetsprotokoll som låter klienter autentisera sig för att få tillgång till tråd/trådlösa nätverk. Switchar kan prata radius med authentication server som kan vara en Windows-server. Authentication port-control används för att ställa en port i ett av tre operational modes: auto, force-authorized och force-unauthorized.
+
802.1x är ett säkerhetsprotokoll som låter klienter autentisera sig genom att prata EAP (RFC 3748) för att få tillgång till tråd/trådlösa nätverk. Switchar kan prata radius med authentication server som kan vara en Windows-server. Authentication port-control används för att ställa en port i ett av tre operational modes: auto, force-authorized och force-unauthorized.
  
 
  aaa authentication dot1x default group radius
 
  aaa authentication dot1x default group radius
Line 63: Line 69:
  
 
==DAI==
 
==DAI==
För att skydda sitt L2-nätverk mot MITM med hjälp av G-ARP kan man använda Dynamic ARP inspection. DAI kräver [[Cisco_DHCP#Snooping|DHCP Snooping]] eftersom ARP valideras mot snooping-databasen. Om inte ARPen stämmer överens mot det som står i databasen kommer frames att droppas, SW_DAI-4-DHCP_SNOOPING_DENY. Man slår på DAI per VLAN man vill skydda.  
+
För att skydda sitt L2-nätverk mot MITM med hjälp av G-ARP kan man använda Dynamic ARP inspection. DAI kräver [[Cisco_DHCP#Snooping|DHCP Snooping]] eftersom inkomna ARP-meddelanden valideras mot snooping-databasen. Om inte ARPen stämmer överens mot det som står i databasen kommer frames att droppas, ''SW_DAI-4-DHCP_SNOOPING_DENY''. Man slår på DAI per VLAN man vill skydda.  
 
  ip arp inspection vlan 10
 
  ip arp inspection vlan 10
 
  show ip arp inspection vlan 10
 
  show ip arp inspection vlan 10
Line 69: Line 75:
 
Man kan även kontrollera IP avsändare och mottagare i paketen utifrån ARP-information. Kollar även ARP bodies efter invalid eller oväntade IP-adresser som 0.0.0.0, 255.255.255.255 och alla multicast-adresser.
 
Man kan även kontrollera IP avsändare och mottagare i paketen utifrån ARP-information. Kollar även ARP bodies efter invalid eller oväntade IP-adresser som 0.0.0.0, 255.255.255.255 och alla multicast-adresser.
 
  ip arp inspection validate ip
 
  ip arp inspection validate ip
Konfigurera interface som trusted för ARP.
+
Konfigurera interface som trusted för ARP. På dessa inspekteras ej ARP-meddelanden.
 
  ip arp inspection trust
 
  ip arp inspection trust
  
Line 76: Line 82:
 
Logging
 
Logging
 
  ip arp inspection vlan 10 logging acl-match
 
  ip arp inspection vlan 10 logging acl-match
 +
 +
ip arp inspection log-buffer entries 32
 +
ip arp inspection log-buffer logs 5 interval 1
 +
 
Verify
 
Verify
 
  show ip arp inspection
 
  show ip arp inspection
 +
 +
=IPv6=
 +
'''RA guard'''
 +
interface GigabitEthernet0/1
 +
  ipv6 nd raguard
 +
Verify
 +
show ipv6 snooping features
 +
show ipv6 nd raguard
 +
 +
'''DHCPv6 Guard''' <br/>
 +
DHCPv6 Guard blockerar reply och advertisments som kommer från unauthorized DHCP servers.
 +
 +
show ipv6 dhcp guard
 +
 +
'''Binding table'''
 +
show ipv6 neighbor binding
 +
 +
'''Device tracking'''
 +
show ipv6 neighbor tracking
 +
 +
'''ND inspection/snooping'''
 +
show ipv6 nd inspection
 +
 +
'''SeND''' <br/>
 +
Secure Neighbor Discovery is a protocol that enhances NDP with three additional capabilities: Address ownership proof, Message protection, Router authorization.
  
 
[[Category:Cisco]]
 
[[Category:Cisco]]

Revision as of 14:00, 5 November 2016

Huvudartikel: Cisco Security.

Se även Private VLANs och DHCP Snooping.

Frame Block

Ändra beteende på en switch så att unknown unicast droppas. Fungerar som säkerhetsmekansim om CAM går fullt för då floodas inte alla frames.

switchport block unicast
switchport block multicast

Port Security

Denna feature fungerar endast på portar som är statiskt konfigurerade som access eller trunk. Ska port security kombineras med HSRP bör BIA MAC användas.

interface [interface]
 switchport mode access
 switchport port-security
 switchport port-security maximum 1
 switchport port-security mac-address sticky
 switchport port-security violation shutdown

Verify

show port-security interface
errdisable recovery cause psecure-violation

PACL

Port ACLs används ingress på Layer 2 interfaces på switchar.

interface gi0/2
 ip access-group PACL in
show mac access-group

VACL

VLAN ACL är ingress, kollar både lokal och transit-trafik och funkar även med non-IP traffic.

access-list 100 permit ip any host 10.0.0.10
vlan access-map BLOCK-TO-SERVER 10
 match ip address 100
 action drop
vlan access-map BLOCK-TO-SERVER 20
 action forward

Apply to vlan

vlan filter BLOCK-TO-SERVER vlan-list 10

Logging

vlan access-log maxflow 500
vlan access-log threshold 0

Storm Control

Storm control är teknik för att låta administratörer dämpa unicast-, multicast- eller broadcast-trafik på L2-interface. Det kan användas för att reducera skadan vid broadcast-stormar. Olika switchmodeller fungerar olika när det gäller EtherChannels kontra fysiska interface för Storm control. För att konfigurera Storm control måste man ange gränsvärde (rising) men falling är optional.

interface gi0/7
 storm-control unicast level bps 1m 500k
 storm-control multicast level pps 500
 storm-control broadcast level 10

Ange vad som ska hända när tröskelvärde överskrids, t.ex. droppa frames eller skicka syslog-trap.

 storm-control action trap

Verify

show storm-control

802.1x

802.1x är ett säkerhetsprotokoll som låter klienter autentisera sig genom att prata EAP (RFC 3748) för att få tillgång till tråd/trådlösa nätverk. Switchar kan prata radius med authentication server som kan vara en Windows-server. Authentication port-control används för att ställa en port i ett av tre operational modes: auto, force-authorized och force-unauthorized.

aaa authentication dot1x default group radius
dot1x system-auth-control

interface gi0/5
 switchport mode access
 dot1x port-control auto

Verify

show dot1x

DAI

För att skydda sitt L2-nätverk mot MITM med hjälp av G-ARP kan man använda Dynamic ARP inspection. DAI kräver DHCP Snooping eftersom inkomna ARP-meddelanden valideras mot snooping-databasen. Om inte ARPen stämmer överens mot det som står i databasen kommer frames att droppas, SW_DAI-4-DHCP_SNOOPING_DENY. Man slår på DAI per VLAN man vill skydda.

ip arp inspection vlan 10
show ip arp inspection vlan 10

Man kan även kontrollera IP avsändare och mottagare i paketen utifrån ARP-information. Kollar även ARP bodies efter invalid eller oväntade IP-adresser som 0.0.0.0, 255.255.255.255 och alla multicast-adresser.

ip arp inspection validate ip

Konfigurera interface som trusted för ARP. På dessa inspekteras ej ARP-meddelanden.

ip arp inspection trust

Static entries behövs för hostar som inte använder DHCP.

ip arp inspection filter ARP_ACL vlan 10

Logging

ip arp inspection vlan 10 logging acl-match

ip arp inspection log-buffer entries 32
ip arp inspection log-buffer logs 5 interval 1

Verify

show ip arp inspection

IPv6

RA guard

interface GigabitEthernet0/1
 ipv6 nd raguard

Verify

show ipv6 snooping features
show ipv6 nd raguard

DHCPv6 Guard
DHCPv6 Guard blockerar reply och advertisments som kommer från unauthorized DHCP servers.

show ipv6 dhcp guard

Binding table

show ipv6 neighbor binding

Device tracking

show ipv6 neighbor tracking

ND inspection/snooping

show ipv6 nd inspection

SeND
Secure Neighbor Discovery is a protocol that enhances NDP with three additional capabilities: Address ownership proof, Message protection, Router authorization.