Sunday, February 27, 2011

Port security

Securitatea la switch de nivelul de tip acces

a) Port security

b) port protected

c) Port blocked

d) Acces la switch fara parola

e) Storm control

a)

Default nu e pornit Port Security

Tipuri de atacuri oprite de Port Security

- MAC address spoofing

    • - schimbarea MAC-ului asignat de vendor cu un altul
    • - Se aplica doar pentru MAC-urile invatate pe acelasi switch
    • - in plus pe porturile configurate cu PS

- CAM address overflow

    • - Se limiteaza numarul de MAC-uri ce pot fi invatate
    • - securitatea este pe traficul inbound

Tipuri de reactii la Port Security Violation

- Protect

    • – se blocheaza traficul ofensator

- Restrict

(Protect) plus:

    • - Se incrementeaza un contor de eroare
    • - Se genereaza un mesaj in syslog
    • - Se genreaza un mesaj SNMP Trap de avertisment
    • - Mesajele Syslog sunt vizibile si in CLI
    • - SNMP trebuie configurat

- Shutdown

(Restrict) plus:

    • - Se duce portul ofensator in starea ERR-Disable ~ cu SHUTDOWN

Default tip de reactie este Shutdown

ERR-DISABLE RECOVERY

Manual:

    • - SW(c-if)#shutdown
    • - se asteapta cateva secunde
    • - SW(c-if)#no shutdown

Automat

    • - SW(c)#errdisable recovery cause psecure violation
    • - SW(c)#errdisable recovery interval <sec> (default 300s)

Tipuri de MAC-uri invatate pe porturile port security.

I. Secure Dynamic (default)

Doua tabele

    • - CAM
    • - MAC-uri securizate (la iOS-uri mai vechi aceasta tabela poate fi in tabela CAM)

Se introduc in CAM (tabela CAM se gaseste in ASIC-uri) (1)

Dupa ce se introduc in CAM se introduc in tabela cu MAC-uri securizate (2)

DEFAULT NU DISPAR MAC-urile

Se dezinvata daca:

    • - shut, no shut pe interfata
    • - reboot switch
    • - Link Up/ Link Down (flapping)

Se pastreaza in CAM , altfel

    • - interval de timp infinit (default) (3)

Se invata automat

II. Static Secure

    • - Idem 1, 2, 3
    • - Se invata manual (prin admin)
    • - Se pastreaza in running-config (flapping-ul interfetei nu va afecta cu nimic) (4)
    • - Se pot duce in startup-config (flapping-ul sw nu va afecta tabelele) (4)

III. Secure Sticky

    • - Idem 1, 2, 4
    • - Nu fac timeout (5)
    • - Se invata dinamic (auto)
    • - Rezultatul invatarii apare printr-o comanda in running–config

IIIa. Statuc Secure Sticky

    • - Idem 1, 2, 4, 5
    • - Se invata manual

Combinatii posibile:

  • Secure Dynamic – Secure Static
  • Sticky – Static

AGEING

Il poate avea un MAC

    • - Dynamic Secure
    • - Static Secure

Poate fi configurat pentru D.S. sau S.S.

Daca se configureaza pentru S.S se aplica automat si pentru D.S. dar nu invers.

Tipul:

    • - absolut
    • - de inactivitate

Timp:

    • - default 0
    • - configurabil 1 – 1140 minute

CONFIGURARE

SW(c)#interface range

  1. fa0/1 , fa0/7 (interfetele fa0/1 SI interfata fa0/7
  2. fa0/3 – 10 (interfetele de la fa0/3 pana la inclusiv fa0/10 – 8 interfete)
  3. fa0/11, fa0/22 – fa0/24 (interfetele fa0/11, fa0/22, 23 si 24)

(ar trebui data printre ultimele)
#switchport port-security

(numarul maxim de mac-uri invatabile)
#switchport port-security maximum <nr>

#switchport port-security mac-address <n.n.n>
#switchport port-security violation { protect | restrict | shutdown }

(trece de la dynamic la sticky)
#switchport port-security mac –address sticky

#switchport port-security mac –address sticky <n.n.n>
#switchport port-security aging-time <sec>

#switchport port-security aging-type { absolute | inactivity }

(prima comanda)
#switchport mode access (poate fi access sau trunk)

VIZUALIZARE

#show port-security

    • - <cr>
    • - interface <fa0/x> (se poate verifica daca e secure down sau up)
    • - interface address
    • - address

#show err-disable recovery
#show interface status [err-disable]
#show mac address table secure

TROUBLESHOOT

#debug port-security

b)Port protected

21.39

 

 

Configurare Sw

Se#define macro <name> interface range (vezi mai sus)

sw#interface range <macro>

sw(c-if-range)#switchport protected

#show interface <interfata> switchport

Config Router

interface fa0/0

ip proxy arp

ip local-proxy arp

Vizualizare

show ip interface fa0/0

(se vede daca proxy arp este disabled sau enabled)

d)Accesul la sw fara parola

1)Deconectezi de la tensiune SW

2)Se apasa butonul MODE

3)Conectare la tensiune a SW

4)In promptul Switch: se scrie

flash_init

4.1)more flash:/config.text

5)rename flash:/config.text flash:/xyz.abc

6)boot sau i

7)Setup mode (y/n)

8)SW>en

9)SW#copy flash:/xyz.abc system:/running-config

10)Inlocuire parole

11)write[config] sau copy run-start sau wr

 

Posted by at

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)