Cisco L2 Security

From HackerNet
Revision as of 19:37, 27 June 2016 by Helikopter (talk | contribs) (Created page with "Huvudartikel: Cisco Security. Se även Private VLANs och DHCP Snooping. ===Frame Block=== Ändra betee...")
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to: navigation, search

Huvudartikel: Cisco Security.

Se även Private VLANs och DHCP Snooping.

Frame Block

Ändra beteende på en switch. Fungerar som säkerhetsmekansim om CAM går fullt för då floodas inte alla frames.

switchport block unicast
switchport block multicast

Port Security

interface [interface]
 switchport mode access
 switchport port-security
 switchport port-security maximum 1
 switchport port-security mac-address sticky
 switchport port-security violation shutdown

Verify

show port-security interface

Ska port security kombineras med HSRP bör BIA MAC användas.

VACL

VLAN ACL

access-list 100 permit ip any host 10.0.0.10
vlan access-map BLOCK-TO-SERVER 10
 match ip address 100
 action drop
vlan access-map BLOCK-TO-SERVER 20
 action forward

Apply to vlan

vlan filter BLOCK-TO-SERVER vlan-list 10

VACL funkar också med non-IP traffic.

Storm Control

Storm control är teknik för att låta administratörer dämpa unicast-, multicast- eller broadcast-trafik på L2-interface. Det kan användas för att reducera skadan vid broadcast-stormar. Man måste ange gränsvärde (rising) men falling är optional.

interface gi0/7
 storm-control broadcast level bps 1m 500k

Ange vad som ska hända när tröskelvärde överskrids, t.ex. droppa frames eller skicka syslog-trap.

 storm-control action trap

Verify

show storm-control

802.1x

802.1x är ett säkerhetsprotokoll som låter klienter autentisera sig för att få tillgång till tråd/trådlösa nätverk.

show dot1x

DAI

För att skydda sitt L2-nätverk mot MITM med hjälp av G-ARP kan man använda Dynamic ARP inspection. DAI kräver DHCP Snooping eftersom ARP valideras mot snooping-databasen. Om inte ARPen stämmer överens mot det som står i databasen kommer frames att droppas, SW_DAI-4-DHCP_SNOOPING_DENY. Man slår på DAI per VLAN man vill skydda.

ip arp inspection vlan 10
show ip arp inspection
ip arp inspection trust
ip arp inspection validate ip

Static entries behövs för hostar som inte använder DHCP.

ip arp inspection filter ARP_ACL vlan 10

Logging

ip arp inspection vlan 10 logging acl-match