Difference between revisions of "Cisco L2 Security"
Helikopter (talk | contribs) (Created page with "Huvudartikel: Cisco Security. Se även Private VLANs och DHCP Snooping. ===Frame Block=== Ändra betee...") |
Helikopter (talk | contribs) |
||
| Line 33: | Line 33: | ||
==Storm Control== | ==Storm Control== | ||
| − | Storm control är teknik för att låta administratörer dämpa unicast-, multicast- eller broadcast-trafik på L2-interface. Det kan användas för att reducera skadan vid broadcast-stormar. | + | Storm control är teknik för att låta administratörer dämpa unicast-, multicast- eller broadcast-trafik på L2-interface. Det kan användas för att reducera skadan vid broadcast-stormar. Olika switchmodeller fungerar olika när det gäller [[Cisco_EtherChannel|Etherchannels]] kontra fysiska interface för Storm control. För att konfigurera Storm control måste man ange gränsvärde (rising) men falling är optional. |
interface gi0/7 | interface gi0/7 | ||
| − | storm-control | + | storm-control unicast level bps 1m 500k |
| + | storm-control multicast level pps 500 | ||
| + | storm-control broadcast level 10 | ||
| + | |||
Ange vad som ska hända när tröskelvärde överskrids, t.ex. droppa frames eller skicka syslog-trap. | Ange vad som ska hända när tröskelvärde överskrids, t.ex. droppa frames eller skicka syslog-trap. | ||
storm-control action trap | storm-control action trap | ||
| Line 42: | Line 45: | ||
==802.1x== | ==802.1x== | ||
| − | 802.1x är ett säkerhetsprotokoll som låter klienter autentisera sig för att få tillgång till tråd/trådlösa nätverk. | + | 802.1x är ett säkerhetsprotokoll som låter klienter autentisera sig för att få tillgång till tråd/trådlösa nätverk. Switchar kan prata radius med authentication server som kan vara en Windows-server. |
| + | aaa authentication dot1x default group radius | ||
| + | dot1x system-auth-control | ||
| + | interface g0/5 | ||
| + | switchport mode access | ||
| + | dot1x port-control auto | ||
| + | |||
| + | Verify | ||
show dot1x | show dot1x | ||
==DAI== | ==DAI== | ||
| − | För att skydda sitt L2-nätverk mot MITM med hjälp av G-ARP kan man använda Dynamic ARP inspection. DAI kräver [[Cisco_DHCP#Snooping|DHCP Snooping]] eftersom ARP valideras mot snooping-databasen. Om inte ARPen stämmer överens mot det som står i databasen kommer frames att droppas, SW_DAI-4-DHCP_SNOOPING_DENY. Man slår på DAI per VLAN man vill skydda. | + | För att skydda sitt L2-nätverk mot MITM med hjälp av G-ARP kan man använda Dynamic ARP inspection. DAI kräver [[Cisco_DHCP#Snooping|DHCP Snooping]] eftersom ARP valideras mot snooping-databasen. Om inte ARPen stämmer överens mot det som står i databasen kommer frames att droppas, SW_DAI-4-DHCP_SNOOPING_DENY. Man slår på DAI per VLAN man vill skydda. |
ip arp inspection vlan 10 | ip arp inspection vlan 10 | ||
| − | show ip arp inspection | + | show ip arp inspection vlan 10 |
| + | Man kan även kontrollera IP avsändare och mottagare i paketen utifrån ARP-information. Kollar även ARP bodies efter invalid eller oväntade IP-adresser som 0.0.0.0, 255.255.255.255 och alla multicast-adresser. | ||
| + | ip arp inspection validate ip | ||
| + | Konfigurera interface som trusted för ARP. | ||
ip arp inspection trust | ip arp inspection trust | ||
| − | |||
Static entries behövs för hostar som inte använder DHCP. | Static entries behövs för hostar som inte använder DHCP. | ||
| Line 57: | Line 69: | ||
Logging | Logging | ||
ip arp inspection vlan 10 logging acl-match | ip arp inspection vlan 10 logging acl-match | ||
| + | Verify | ||
| + | show ip arp inspection | ||
[[Category:Cisco]] | [[Category:Cisco]] | ||
Revision as of 21:30, 9 July 2016
Huvudartikel: Cisco Security.
Se även Private VLANs och DHCP Snooping.
Frame Block
Ändra beteende på en switch. Fungerar som säkerhetsmekansim om CAM går fullt för då floodas inte alla frames.
switchport block unicast switchport block multicast
Port Security
interface [interface] switchport mode access switchport port-security switchport port-security maximum 1 switchport port-security mac-address sticky switchport port-security violation shutdown
Verify
show port-security interface
Ska port security kombineras med HSRP bör BIA MAC användas.
VACL
VLAN ACL
access-list 100 permit ip any host 10.0.0.10 vlan access-map BLOCK-TO-SERVER 10 match ip address 100 action drop vlan access-map BLOCK-TO-SERVER 20 action forward
Apply to vlan
vlan filter BLOCK-TO-SERVER vlan-list 10
VACL funkar också med non-IP traffic.
Storm Control
Storm control är teknik för att låta administratörer dämpa unicast-, multicast- eller broadcast-trafik på L2-interface. Det kan användas för att reducera skadan vid broadcast-stormar. Olika switchmodeller fungerar olika när det gäller Etherchannels kontra fysiska interface för Storm control. För att konfigurera Storm control måste man ange gränsvärde (rising) men falling är optional.
interface gi0/7 storm-control unicast level bps 1m 500k storm-control multicast level pps 500 storm-control broadcast level 10
Ange vad som ska hända när tröskelvärde överskrids, t.ex. droppa frames eller skicka syslog-trap.
storm-control action trap
Verify
show storm-control
802.1x
802.1x är ett säkerhetsprotokoll som låter klienter autentisera sig för att få tillgång till tråd/trådlösa nätverk. Switchar kan prata radius med authentication server som kan vara en Windows-server.
aaa authentication dot1x default group radius dot1x system-auth-control interface g0/5 switchport mode access dot1x port-control auto
Verify
show dot1x
DAI
För att skydda sitt L2-nätverk mot MITM med hjälp av G-ARP kan man använda Dynamic ARP inspection. DAI kräver DHCP Snooping eftersom ARP valideras mot snooping-databasen. Om inte ARPen stämmer överens mot det som står i databasen kommer frames att droppas, SW_DAI-4-DHCP_SNOOPING_DENY. Man slår på DAI per VLAN man vill skydda.
ip arp inspection vlan 10 show ip arp inspection vlan 10
Man kan även kontrollera IP avsändare och mottagare i paketen utifrån ARP-information. Kollar även ARP bodies efter invalid eller oväntade IP-adresser som 0.0.0.0, 255.255.255.255 och alla multicast-adresser.
ip arp inspection validate ip
Konfigurera interface som trusted för ARP.
ip arp inspection trust
Static entries behövs för hostar som inte använder DHCP.
ip arp inspection filter ARP_ACL vlan 10
Logging
ip arp inspection vlan 10 logging acl-match
Verify
show ip arp inspection
