Difference between revisions of "Cisco L2 Security"
Helikopter (talk | contribs) |
Helikopter (talk | contribs) |
||
| Line 1: | Line 1: | ||
Huvudartikel: [[Cisco_Security|Cisco Security]]. | Huvudartikel: [[Cisco_Security|Cisco Security]]. | ||
| − | Se även [[Cisco_VLAN#Private_VLAN|Private VLANs]] | + | Se även [[Cisco_VLAN#Private_VLAN|Private VLANs]], [[Cisco_DHCP#Snooping|DHCP Snooping]] och [[Cisco_L3_Security|Cisco L3 Security]]. |
===Frame Block=== | ===Frame Block=== | ||
| Line 21: | Line 21: | ||
errdisable recovery cause psecure-violation | errdisable recovery cause psecure-violation | ||
| − | ==PACL== | + | ==ACL== |
| + | ===PACL=== | ||
Port ACLs används ingress på Layer 2 interfaces på switchar. | Port ACLs används ingress på Layer 2 interfaces på switchar. | ||
interface gi0/2 | interface gi0/2 | ||
ip access-group PACL in | ip access-group PACL in | ||
| − | + | mac access-group PACL in | |
| + | Verify | ||
show mac access-group | show mac access-group | ||
| − | ==VACL== | + | ===VACL=== |
VLAN ACL är ingress, kollar både lokal och transit-trafik och funkar även med non-IP traffic. | VLAN ACL är ingress, kollar både lokal och transit-trafik och funkar även med non-IP traffic. | ||
access-list 100 permit ip any host 10.0.0.10 | access-list 100 permit ip any host 10.0.0.10 | ||
| Line 73: | Line 75: | ||
show ip arp inspection vlan 10 | show ip arp inspection vlan 10 | ||
| − | Man kan även kontrollera IP avsändare och mottagare i paketen utifrån ARP-information. | + | Man kan även kontrollera IP-avsändare och mottagare i paketen utifrån ARP-information. Detta kollar även ARP bodies efter invalid eller oväntade IP-adresser som 0.0.0.0, 255.255.255.255 och alla multicast-adresser. |
ip arp inspection validate ip | ip arp inspection validate ip | ||
| + | |||
Konfigurera interface som trusted för ARP. På dessa inspekteras ej ARP-meddelanden. | Konfigurera interface som trusted för ARP. På dessa inspekteras ej ARP-meddelanden. | ||
| − | ip arp inspection trust | + | interface gi0/7 |
| + | ip arp inspection trust | ||
Static entries behövs för hostar som inte använder DHCP. | Static entries behövs för hostar som inte använder DHCP. | ||
ip arp inspection filter ARP_ACL vlan 10 | ip arp inspection filter ARP_ACL vlan 10 | ||
| + | |||
| + | Eftersom DAI gör att switchen jobbar mer kan man överlasta den genom att skicka ett stort antal ARP-meddelanden. DAI har därför default en limit på 15 ARP-meddelanden per port per sekund. | ||
| + | interface gi0/7 | ||
| + | ip arp inspection limit 15 | ||
| + | |||
Logging | Logging | ||
ip arp inspection vlan 10 logging acl-match | ip arp inspection vlan 10 logging acl-match | ||
| Line 90: | Line 99: | ||
=IPv6= | =IPv6= | ||
| − | '''RA guard''' | + | '''RA guard''' <br/> |
| + | RA guard blockerar unwanted eller rogue router advertisement. Denna feature körs i ingress direction. | ||
interface GigabitEthernet0/1 | interface GigabitEthernet0/1 | ||
ipv6 nd raguard | ipv6 nd raguard | ||
Revision as of 13:14, 24 November 2016
Huvudartikel: Cisco Security.
Se även Private VLANs, DHCP Snooping och Cisco L3 Security.
Contents
Frame Block
Ändra beteende på en switch så att unknown unicast droppas. Fungerar som säkerhetsmekansim om CAM går fullt för då floodas inte alla frames.
switchport block unicast switchport block multicast
Port Security
Denna feature fungerar endast på portar som är statiskt konfigurerade som access eller trunk. Ska port security kombineras med HSRP bör BIA MAC användas.
interface [interface] switchport mode access switchport port-security switchport port-security maximum 1 switchport port-security mac-address sticky switchport port-security violation shutdown
Verify
show port-security interface
errdisable recovery cause psecure-violation
ACL
PACL
Port ACLs används ingress på Layer 2 interfaces på switchar.
interface gi0/2 ip access-group PACL in mac access-group PACL in
Verify
show mac access-group
VACL
VLAN ACL är ingress, kollar både lokal och transit-trafik och funkar även med non-IP traffic.
access-list 100 permit ip any host 10.0.0.10 vlan access-map BLOCK-TO-SERVER 10 match ip address 100 action drop vlan access-map BLOCK-TO-SERVER 20 action forward
Apply to vlan
vlan filter BLOCK-TO-SERVER vlan-list 10
Logging
vlan access-log maxflow 500 vlan access-log threshold 0
Storm Control
Storm control är teknik för att låta administratörer dämpa unicast-, multicast- eller broadcast-trafik på L2-interface. Det kan användas för att reducera skadan vid broadcast-stormar. Olika switchmodeller fungerar olika när det gäller EtherChannels kontra fysiska interface för Storm control. För att konfigurera Storm control måste man ange gränsvärde (rising) men falling är optional.
interface gi0/7 storm-control unicast level bps 1m 500k storm-control multicast level pps 500 storm-control broadcast level 10
Ange vad som ska hända när tröskelvärde överskrids, t.ex. droppa frames eller skicka syslog-trap.
storm-control action trap
Verify
show storm-control
802.1x
802.1x är ett säkerhetsprotokoll som låter klienter autentisera sig genom att prata EAP (RFC 3748) för att få tillgång till tråd/trådlösa nätverk. Switchar kan prata radius med authentication server som kan vara en Windows-server. Authentication port-control används för att ställa en port i ett av tre operational modes: auto, force-authorized och force-unauthorized.
aaa authentication dot1x default group radius dot1x system-auth-control interface gi0/5 switchport mode access dot1x port-control auto
Verify
show dot1x
DAI
För att skydda sitt L2-nätverk mot MITM med hjälp av G-ARP kan man använda Dynamic ARP inspection. DAI kräver DHCP Snooping eftersom inkomna ARP-meddelanden valideras mot snooping-databasen. Om inte ARPen stämmer överens mot det som står i databasen kommer frames att droppas, SW_DAI-4-DHCP_SNOOPING_DENY. Man slår på DAI per VLAN man vill skydda.
ip arp inspection vlan 10 show ip arp inspection vlan 10
Man kan även kontrollera IP-avsändare och mottagare i paketen utifrån ARP-information. Detta kollar även ARP bodies efter invalid eller oväntade IP-adresser som 0.0.0.0, 255.255.255.255 och alla multicast-adresser.
ip arp inspection validate ip
Konfigurera interface som trusted för ARP. På dessa inspekteras ej ARP-meddelanden.
interface gi0/7 ip arp inspection trust
Static entries behövs för hostar som inte använder DHCP.
ip arp inspection filter ARP_ACL vlan 10
Eftersom DAI gör att switchen jobbar mer kan man överlasta den genom att skicka ett stort antal ARP-meddelanden. DAI har därför default en limit på 15 ARP-meddelanden per port per sekund.
interface gi0/7 ip arp inspection limit 15
Logging
ip arp inspection vlan 10 logging acl-match ip arp inspection log-buffer entries 32 ip arp inspection log-buffer logs 5 interval 1
Verify
show ip arp inspection
IPv6
RA guard
RA guard blockerar unwanted eller rogue router advertisement. Denna feature körs i ingress direction.
interface GigabitEthernet0/1 ipv6 nd raguard
Verify
show ipv6 snooping features show ipv6 nd raguard
DHCPv6 Guard
DHCPv6 Guard blockerar reply och advertisments som kommer från unauthorized DHCP servers.
show ipv6 dhcp guard
Binding table
show ipv6 neighbor binding
Device tracking
show ipv6 neighbor tracking
ND inspection/snooping
show ipv6 nd inspection
SeND
Secure Neighbor Discovery is a protocol that enhances NDP with three additional capabilities: Address ownership proof, Message protection, Router authorization.
