Kurz CCNA Security

7 – STP bezpečnosť / PortSecurity / PVLAN Edge / Lokálne SPAN

< späť na zoznam

Pozn.: V závislosti na zariadení na ktorom pracujete môže byť LAN rozhranie buď gi0/0 alebo fa0/0. Dostupné rozhrania zistite cez show ip interface brief. Následne tomu prispôsobujete aj topológiu.

Pozn.: Pre jednoduchosť konfigurácie predpokladáme neexistenciu rozhraní GigabitEthernet0/1-2 na prepínačoch.

Chyby v cvičení nahlasujte na ondrej.kainz@cnl.sk.

A. Konfigurácia zariadení:

  1. Spoločne nakonfigurujte smerovač R1 podľa topológie vyššie. Konfigurácia pozostáva z nastavenia hostname, konfigurácie dvoch subrozhraní s IPv4 adresou podľa topológie.
  2. Nastavte statickú IP adresy na PC.
  3. Nastavte prepínače S1 a S2 tak, aby bolo možné realizovať ping z PC A na PC B.
    Pomôcka, ak vám ping nefunguje, spomeňte si, že na prepínačoch musia byť rovnaké VLAN.
  4. Nastavte vzdialený prístup na prepínače cez SSH pre 5 paralelných pripojení. Doménové meno sk. Dĺžka kľúča 1024. Používateľské meno admin a bezpečné heslo sshheslo, úroveň privilégií 15. Pre vzdialený prístup použite VLAN 99 (int vlan 99). Nezabudnite nakonfigurovať aj informáciu o bráne.
  5. Otestujte pripojenie na SSH.

 

B. Konfigurácia STP

  1. Nakonfigurujte S1 ako root bridge pre VLAN 49 a 99, a S2 ako root bridge pre VLAN 50:

S1(config)# spanning-tree vlan 49 priority 0

S1(config)# spanning-tree vlan 99 priority 0
S2(config)# spanning-tree vlan 50 priority 0

  1. Overte cez príkaz:

# show spanning-tree

C. Zmena natívnej VLAN

Zmena natívnej VLAN na rozhraniach typu trunk do nepoužívanej VLAN pomáha predchádzať VLAN hopping útokom. Natívna VLAN v tejto topológii bude VLAN 98. Aká je momentálne nastavená natívna VLAN pre trunk rozhania? Zistíte pomocou príkazu:

# show interfaces trunk

Zmeňte natívnu VLAN na trunk rozhraniach príkazom:

(config-if)# switchport trunk native vlan 98

D. Vypnutie DTP protokolu na rozhraniach kde budú pripojené koncové zariadenia

DTP protokol dokáže vyjednávať vytvorenie trunk spojenia. Napríklad útočník by sa mohol pripojiť na nepoužívané rozhrania a simulovať na svojom zariadení prepínač nastavený ako trunk, tým by sa vytvorilo trunk spojenie s legitímnym prepínačom. Pre predchádzanie VLAN útokov je vhodné ho vypnúť na všetkých rozhraní už nastavených ako trunk. Pred nastavením príkazu deaktivujúceho funkcionalitu DTP je potrebné nastaviť rozhranie do stavu access.

S1(config)# interface range fastEthernet 0/1-22
S2(config-if-range)# interface range fastEthernet 0/1-22, fastEthernet 0/24
(config-if-range)# switchport mode access
(config-if-range)# switchport nonegotiate

Overenie je možné cez príkaz:

# show interfaces fastEthernet 0/1 switchport

E. Ochrana pred STP útokmi

V prípade pripojenia nelegitímneho prepínača do siete, by sa útočník mohol napríklad pokúsiť stať sa root bridge-om a tým zmeniť STP parametre. STP využíva pre komunikáciu BPDU rámce, ak nastavíme funkcionalitu s názvom BPDU guard, potom rozhranie po prijatí BPDU rámca prejde do stavu error disabled, tzn. rozhranie sa nebude dať ďalej používať, kým nezasiahne administrátor.

  1. Nakonfigurujte BPDU guard na access rozhrania:

    S1(config)# interface range fastEthernet 0/1-22
    S2(config-if-range)# interface range fastEthernet 0/1-22, fastEthernet 0/24
    (config-if)# spanning-tree bpduguard enable

  2. Rozhrania v stave access môžeme nakonfigurovať s funkcionalitou PortFast, čím v konečnom dôsledku vypneme STP protokol a rozhranie prejde rovno do stavu forwarding:

    S1(config)# interface range fastEthernet 0/1-22
    S2(config-if-range)# interface range fastEthernet 0/1-22, fastEthernet 0/24
    (config-if)# spanning-tree portfast

  3. (nekonfigurujete) BPDU guard aj PortFast je možné nastaviť aj globálne na prepínači príkazmi:

(config)# spanning-tree portfast bpduguard default
(config)# spanning-tree portfast default

  1. Testovanie nakonfigurovanej funkcionality. Medzi PC A a PC B spustite z príkazového riadka nekončný ping:

PC A:\>ping -t 147.232.50.1
PC B:\>ping -t 147.232.49.1

Prepínač S1 odpojte z rozhrania Fa0/23 a zapojte do Fa0/22. Počkajte. Potom, prepínač S1 zapojte naspäť do rozhrania Fa0/23. Prepínač S2 odpojte z rozhrania Fa0/23 a zapojte do Fa0/22. Počkajte. Potom, prepínač S2 zapojte naspäť do rozhrania Fa0/23.

Skontrolujte stav rozhranie Fa0/22:

# show interfaces fastEthernet 0/22

FastEthernet0/22 is down, line protocol is down (err-disabled)

  1. Ďalší spôsob ochrany pred falošným prepínačom je aktivácia Root guard funkcionality na rozhraniach, ktoré nie sú rozhraniami v stave root. Väčšinou sa aktivuje na rozhraniach, ktoré sa pripájajú na okrajové prepínače, kde sa nikdy neočakáva prijatie lepšieho BPDU. Každý prepínač by mal mať práve jedno root rozhranie, ktoré predstavuje najlepšiu cestu k root bridge.

Rozhraniam v stave access nastavíme funkcionalitu root guard:

S1(config)# interface range fastEthernet 0/1-22
S2(config-if-range)# interface range fastEthernet 0/1-22, fastEthernet 0/24
(config-if)# spanning-tree guard root

V prípade prijatia lepšieho BPDU sa rozhranie dostane do stavu root-inconsistent a zobrazí sa vo výstupe show príkazu:

# show spanning-tree inconsistentports

F. Konfigurácia portsecurity

Na prepínače je možné útočiť aj z pohľadu tabuľky MAC adries, ktorá je uložená na prepínači – preplnenie tabuľky MAC adries (angl. overflow), falšovanie MAC adries (angl. spoofing). K predchádzaniu práve uvedeného je možné využiť portsecurity.

  1. Zistite IP adresu rozhrania smerovača, ktoré sa pripája na prepínač:

R1# show interfaces fastEthernet 0/0

V našom prípade ide o adresu 0004.9ab2.7a01.

  1. Na rozhraní prepínača nastavíme MAC adresu ako sticky a štyri MAC povolené na rozhraní:

S1(config)# interface fastEthernet 0/24

S1(config-if)# shutdown

S1(config-if)# switchport port-security mac-address sticky

Port-security not enabled on interface FastEthernet0/24.

S1(config-if)# switchport port-security maximum 4

S1(config-if)# switchport port-security

S1(config-if)# no shutdown

  1. Prečo bolo potrebné zadať štyri povolené MAC adresy? Kontrola cez príkaz:

S1# show mac-address-table

  49    0004.9ab2.7a01    STATIC      Fa0/24

  50    0004.9ab2.7a01    STATIC      Fa0/24

  99    0004.9ab2.7a01    STATIC      Fa0/24

Pozn.: Predvolené nastavenie portsecurity je maximálne jedna MAC adresa na rozhranie a mód narušenia shutdown. Portsecurity sa spravidla konfiguruje na rozhraní v stave access.

  1. Nastavte portsecurity na všetky access rozhrania:

S1(config)# interface range fastEthernet 0/1-22
S2(config-if-range)# interface range fastEthernet 0/1-22, fastEthernet 0/24
(config-if-range)# switchport port-security mac-address sticky

(config-if-range)# switchport port-security maximum 1

(config-if-range)# switchport port-security violation shutdown

(config-if-range)# switchport port-security

  1. Kontrola portsecurity, napríklad rozhranie pripojené k PC:

S1# show port-security interface fastEthernet 0/10

S2# show port-security interface fastEthernet 0/20

Port Security : Enabled

Port Status : Secure-shutdown

Violation Mode : Shutdown

Aging Time : 0 mins

Aging Type : Absolute

SecureStatic Address Aging : Disabled

Maximum MAC Addresses : 1

Total MAC Addresses : 1

Configured MAC Addresses : 0

Sticky MAC Addresses : 1

Last Source Address:Vlan : 0004.9A6B.A999:50

Security Violation Count : 1

  1. Overenie funkcionality: Vymeňte PC A a PC B, tzn. odpojte a prepojte ich na prepínačoch. Realizujte ping na bránu. Čo sa udialo? A prečo? Prepojte zariadenia späť do pôvodnej konfigurácie. Skontrolujte výstup podľa posledného show príkazu v časti 5.
  2. Zrušenie error disabled stavu na rozhraniach fastEthernet 0/10 a 0/20:

(config-if)# shutdown

(config-if)# no shutdown

  1. (nekonfigurujete) Hoci sa portsecurity nastaví je možné toto nastavenie zresetovať do pôvodného nastavenia:

S1(config)# default interface fastEthernet 0/10

Pozn.: Príkazom sa zmažú všetky vyššie uvedené nastavenia, vrátane zabezpečenia STP atď.

G. Vypnite nepoužívané rozhrania na S1 a S2. Použite „range“.

H. Zmena predvolenej VLAN

V predvolenom nastavení sú všetky rozhrania vo VLAN 1. Všetky nepoužívané rozhrania dajte do novej a nepoužívanej VLAN 97.

S1(config)# interface range fastEthernet 0/1-9, fastEthernet 0/11-22
S1(config-if-range)# switchport access vlan 97

S2(config)# interface range fastEthernet 0/1-19, fastEthernet 0/21-22
S2(config-if-range)# switchport access vlan 97

Overenie cez:

# show vlan brief

I. Konfigurácia funkcionality PVLAN Edge

PVLAN Edge funkcionalita oddeľuje prevádzku na L2 vrstve, konkrétne zabraňuje komunikácii medzi zariadeniami z iných rozhraní. PVLAN izoluje na L2 vrstve rozhrania v rámci jednej VLAN.

  1. Prepojte PC B na rozhranie fastEthernet 0/20 na S1.
  2. Rozhranie fastEthernet 0/20 na S1 dajte do VLAN 49:

S1(config-if)# switchport access vlan 49

  1. Na PC B zmeňte IP adresu a bránu na: 232.49.2 / 147.232.49.254
  2. Overte komunikáciu medzi PC A a PC B. Ping nechajte neustále bežať „-t“.
  3. Aktivujte PVLAN Edge funkcionalitu na rozhraniach fastEthernet 0/10 a 0/20:

S1(config)# interface fastEthernet 0/10

S1(config-if)# switchport protected

S1(config)# interface fastEthernet 0/20

S1(config-if)# switchport protected

  1. Overenie PVLAN Edge funkcionality:

S1# show interfaces fa0/10 switchport

Name : Fa0/10

Switchport : Enabled

Protected : true

Príkaz zopakujte a overte aj pre fastEthernet 0/20.

J. SPAN

SPAN funkcionalita je zrkadlenie rozhraní. Napríklad celá komunikácia z PC 1 na Fa0/10 by bola zrkadlená na PC 2 na Fa0/20, kde by bežal softvér pre analýzu siete. Prístup zrkadlenia sa bežne používa pri nástrojoch na monitorovanie prevádzky siete – IDS (angl. Intrusion Detection System).

  1. Na rozhraniach fastEthernet 0/10 a 0/20 na S1 vypnite PVLAN Edge funkcionalitu aj STP bezpečnosť:

S1(config)# interface fastEthernet 0/10

S1(config-if)# no switchport protected

S1(config-if)# no switchport portsec

S1(config)# interface fastEthernet 0/20

S1(config-if)# no switchport protected

S1(config-if)# no switchport portsec

Pozn.: V Cisco PT zariadenie PC B zmažte a pridajte Sniffer. Zariadenie nie je možné nastavovať. V časti „GUI“ budú následne v „Buffer Size“ zobrazené odchytené pakety.

  1. Overte komunikáciu medzi PC A a PC B.
  2. Konfigurácia SPAN – Nastavte zdrojové a cieľové rozhranie:

S1(config)# monitor session 1 source interface fastEthernet 0/10

S1(config)# monitor session 1 destination interface fastEthernet 0/20

  1. Overenie konfigurácie cez show príkaz:

S1# show monitor session 1 detail

5. Na PC B spustite Wireshark 🗔. Vyberte Ethernet pripojenie (alebo ekvivalent). Na PC A zadajte ping na bránu. Sledujte odchytenú komunikáciu cez Wireshark na PC B.