dr inż. Łukasz Sturgulewski, Zagrożenia w sieciach komputerowych

Podobne dokumenty
Bezpieczeństwo Systemów Sieciowych

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

Zadanie OUTSIDE /24. dmz. outside security- level /24. inside security- level /16 VLAN

ZiMSK dr inż. Łukasz Sturgulewski, DHCP

ZADANIE.10 Cisco.&.Juniper DHCP (Router, Firewall)

Kontrola transmisji portów sieciowych

Laboratorium nr 4 Ataki aktywne

ZADANIE.05 Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing) 2,5h

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

ZiMSK. VLAN, trunk, intervlan-routing 1

Wprowadzenie do kryptografii i bezpieczeństwa. Po raz trzeci

ZADANIE.02 Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

ZADANIE.05 Cisco.&.Juniper Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing)

1. Zgodnie z poniższym schematem ustanów połączenia: konsolowe i ethernetowe z urządzeniem

ZADANIE.08 RADIUS (authentication-proxy, IEEE 802.1x) 2h

OUTSIDE /24. dmz. outside /24. security- level /16 TRUNK 0/1 VLAN2 0/2 VLAN10 0/3-0/10 VLAN20 0/11-0/24

ZADANIE.09 Syslog, SNMP (Syslog, SNMP) 1,5h

ZiMSK. mgr inż. Artur Sierszeń mgr inż. Łukasz Sturgulewski ZiMSK 1

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Lab 2 ĆWICZENIE 2 - VLAN. Rodzaje sieci VLAN

Switching czyli przełączanie. Sieci komputerowe Switching. Wstęp. Wstęp. Bridge HUB. Co to jest? Po co nam switching? Czym go zrealizować?

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

Ćwiczenie Konfiguracja aspektów bezpieczeństwa przełącznika

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

ZiMSK NAT, PAT, ACL 1

PBS. Wykład Organizacja zajęć. 2. Podstawy obsługi urządzeń wykorzystywanych podczas laboratorium.

Administracja sieciami LAN/WAN Komunikacja między sieciami VLAN

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

pasja-informatyki.pl

ZADANIE.05 Cisco.&.Juniper Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing) 2,5h

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

ZADANIE.08 Cisco.&.Juniper RADIUS (authentication-proxy, IEEE 802.1x)

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Adresy w sieciach komputerowych

dopełnienie wystarczy wpisać początek polecenia, np: en i nacisnąć klawisz TAB na klawiaturze, a system dopełni nam poleceni do enable,

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

Sieci komputerowe. Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008. Michał Cieśla

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

Programowanie sieciowe

Serwer DHCP (dhcpd). Linux OpenSuse.

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Packet Tracer - Podłączanie routera do sieci LAN

Korporacyjne Sieci Bez Granic Corporate Borderless Networks

Sieci VLAN. Podstawy konfiguracji. Paweł Malak malak.eu Spotkanie koła naukowego AEGIS, Poznao, wrzesieo 2013r.

Przełączanie i Trasowanie w Sieciach Komputerowych

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

CCNA : zostań administratorem sieci komputerowych Cisco / Adam Józefiok. Gliwice, cop Spis treści

Ćwiczenie Konfiguracja VLAN i łącza trunk

LABORATORIUM SIECI. Zakład Cyberbezpieczeństwa IT PW. Instrukcja do ćwiczenia: Switching, VLAN & Trunking Przedmiot: Sieci Lokalne (LAN)

Telefon AT 530 szybki start.

Ćwiczenie Podstawowa konfiguracja DHCPv4 na przełączniku

Telefon IP 620 szybki start.

Zaawansowana konfiguracja przełącznika TP-Link TL-SG3224

PBS. Wykład Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy

ZADANIE.01 Prewencja w Systemach Informatycznych v.2014 ZADANIE.01. NIPS (Network Intrusion Prevention System) - 1 -

Ćwiczenie 5a Sieć komputerowa z wykorzystaniem rutera.


Sieci komputerowe - administracja

Protokoły sieciowe - TCP/IP

Wprowadzenie do obsługi systemu IOS na przykładzie Routera

Laboratorium - Używanie wiersza poleceń systemu IOS do obsługi tablic adresów MAC w przełączniku

Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia

Obsługa abonentów poprzez sieć L2 i L3, czyli ciąg dalszy centralnego BRASa w sieci

Ćwiczenie 5b Sieć komputerowa z wykorzystaniem rutera.

ZADANIE.02 Cisco.&.Juniper Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami

Sieci komputerowe Warstwa aplikacji

PODSTAWOWA OBSŁUGA PROGRAMU PROGRAMU PACKET TRACER TRYB REAL TIME

Sieci Komputerowe Laboratorium 11. VLAN i VTP

VLAN 2 zadania. Uwagi. Przygotowanie. Zadanie 1 Klasyczny VLAN, komputery obsługują znaczniki 802.1Q. Zadanie 2 Ingress filtering (cz.

Ćwiczenie Konfiguracja routingu między sieciami VLAN

pasja-informatyki.pl

OBSŁUGA I KONFIGURACJA SIECI W WINDOWS

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

Zakład Teleinformatyki i Telekomutacji LABORATORIUM SIECI

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Podstawy multicast - IGMP, CGMP, DVMRP.

Instrukcja do laboratorium 2. Podstawowa konfiguracja środowiska MPLS (Multi-Protocol Label Switching)

Gdzie ComNet świadczy usługi.

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat usługi DHCP.

Akademia Górniczo-Hutnicza im. Stanisława Staszica

Bramka IP 2R+L szybki start.

ZADANIE.08. RADIUS (authentication-proxy, IEEE 802.1x) 2h

Konwerter RS-485->Ethernet [TCP/IP] CN-ETH-485 INSTRUKCJA [konfiguracja urządzenia do współpracy z programem MeternetPRO]

Laboratorium LAN Switching & VLAN

Ćwiczenie Rozwiązywanie problemów związanych z trasami statycznymi IPv4 oraz IPv6 Topologia

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

1) Skonfiguruj nazwę hosta na ruterze zgodną z przyjętą topologią i Tabelą adresacji.

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ PODSTAWY RUTINGU IP. WSTĘP DO SIECI INTERNET Kraków, dn. 7 listopada 2016 r.

OUTSIDE /24. dmz. outside /24. security- level 50. inside security- level /16 VLAN /

ARP Address Resolution Protocol (RFC 826)

Metody zabezpieczania transmisji w sieci Ethernet

Projekt LAN. Temat: Skaner bezpieczeństwa LAN w warstwie 2. Prowadzący: dr inż. Krzysztof Szczypiorski Studenci: Kończyński Marcin Szaga Paweł

System operacyjny Linux

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

ZADANIE.02 Cisco.&.Juniper Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

Zadania z sieci Rozwiązanie

Transkrypt:

Zagrożenia w sieciach komputerowych dr inż. Łukasz Sturgulewski, luk@iis.p.lodz.pl, http://luk.iis.p.lodz.pl/ Zagrożenia w sieciach komputerowych 1

Ataki na L2 Typowe ataki na L2: Przepełnienie tablicy CAM flooding Podszycie pod IP-MAC ARP spoofing DHCP snooping IP spoofing (itp.) Zagrożenia w sieciach komputerowych 2

Idea Wszędzie podajemy adresy IP. Należy pamiętać, że adres IP nie jest wystarczający do komunikacji w sieci! Potrzebny jest adres warstwy 2 modelu OSI, zależy od użytej technologii. Dla Ethernet będzie to adres MAC. Tłumaczenia z IP na MAC dokonuje ARP. Zagrożenia w sieciach komputerowych 3

Komunikacja w sieci Tłumaczenie IP na MAC: W sieci Pracownicy Poza sieć Pracownicy OUTSIDE 79.96.21.160 / 28 dmz security-level 50 outside security-level 0 212.191.89.128 / 25 subinterfaces, trunk 172.18.0.0 / 16 10.2.0.0 / 16 VLAN Admin sec.lev.95 Wpisujemy w przeglądarce adres i 10.10.0.0 / 16 VLAN Dyrekcja sec.lev.85 10.20.0.0 / 16 VLAN Pracownicy sec.lev.80 Zagrożenia w sieciach komputerowych 4

Konfiguracja host a Zagrożenia w sieciach komputerowych 5

Wynik z Wireshark (ARP) Zagrożenia w sieciach komputerowych 6

Wynik z Wireshark (DNS) Zagrożenia w sieciach komputerowych 7

Wynik z Wireshark (TCP, HTTP) Zagrożenia w sieciach komputerowych 8

Przesyłanie danych Unicast Broadcast Multicast Zagrożenia w sieciach komputerowych 9

Przesyłanie danych Domena kolizyjna Domena rozgłoszeniowa Segmentacja L2 Segmentacja L3 Zagrożenia w sieciach komputerowych 10

Zasada działania przełącznika Zagrożenia w sieciach komputerowych 11

Cechy przełącznika Zagrożenia w sieciach komputerowych 12

Przełączanie ramek Zagrożenia w sieciach komputerowych 13

Przełączanie ramek Zagrożenia w sieciach komputerowych 14

Przełączanie ramek Zagrożenia w sieciach komputerowych 15

MAC flooding Zagrożenia w sieciach komputerowych 16

MAC flooding Zainstalować i skonfigurować w sieci program do generowania ruchu z losowymi adresami MAC (atak typu MAC flooding czyli zalanie tablicy CAM przełącznika losowymi adresami). Wykazać przepełnienie tablicy CAM. Stwierdzić czy przełącznik jest podatny na ten rodzaj ataku. Zagrożenia w sieciach komputerowych 17

Program do generowania ruchu z losowymi adresami MAC EtherFlood floods a switched network with Ethernet frames with random hardware addresses. The effect on some switches is that they start sending all traffic out on all ports so you can sniff all traffic on the network. Q: Why doesn't EtherFlood work? A: Perhaps your switch isn't vulnerable to this attack. If all the LED's on the switch are blinking rapidly but you still don't see all network traffic the switch is probably immune. Zagrożenia w sieciach komputerowych 18

Program do generowania ruchu z losowymi adresami MAC Macof dsniff Kali Linux Zagrożenia w sieciach komputerowych 19

Wykazać przepełnienie tablicy CAM Dla urządzeń Cisco do weryfikacji zawartości tablicy CAM przełącznika użyć poleceń: Switch# sh mac address-table Switch# sh mac address-table count Zagrożenia w sieciach komputerowych 20

Tablica CAM INE-SW1#show mac address-table? address Address to lookup in the table aging-time MAC address table aging parameters count Number of MAC addresses in the table dynamic List dynamic MAC addresses interface List MAC adresses on a specific interface learning Display learning on VLAN or interface move MAC Move information multicast List multicast MAC addresses notification MAC notification parameters and history table secure List secure MAC addresses static List static MAC addresses vlan List MAC addresses on a specific vlan Output modifiers <cr> Zagrożenia w sieciach komputerowych 21

Wykazać przepełnienie tablicy CAM INEINE-SW1#show mac address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 000a.b82d.10e0 DYNAMIC Fa0/16 1 0012.80b6.4cd8 DYNAMIC Fa0/3 1 0012.80b6.4cd9 DYNAMIC Fa0/16 1 0014.6915.4100 DYNAMIC Fa0/16 1 0018.b921.9200 DYNAMIC Fa0/16 1 0018.b921.9278 DYNAMIC Fa0/1 1 0018.b974.528f DYNAMIC Fa0/16 1 0019.0617.660f DYNAMIC Fa0/13 1 0019.0617.6610 DYNAMIC Fa0/14 1 0019.0617.6611 DYNAMIC Fa0/15 1 001b.d450.970f DYNAMIC Fa0/19 1 001b.d450.9710 DYNAMIC Fa0/20 1 001b.d450.9711 DYNAMIC Fa0/21 4 0018.b974.528f DYNAMIC Fa0/16 45 0018.b945.d5a9 DYNAMIC Fa0/19 45 0018.b945.f780 DYNAMIC Fa0/5 45 0018.b974.528f DYNAMIC Fa0/16 56 0018.b945.f781 DYNAMIC Fa0/16 56 0018.b974.528f DYNAMIC Fa0/16 56 0019.069c.80e1 DYNAMIC Fa0/19 6 0018.b974.528f DYNAMIC Fa0/16 6 0019.069c.80e0 DYNAMIC Fa0/13 Total Mac Addresses for this criterion: Zagrożenia w sieciach komputerowych 22

Przeciwdziałanie MAC flooding Port Security secures the access to an access or trunk port based on MAC address. It limits the number of learned MAC addresses to deny MAC address flooding. Cisco 2960 Data Sheet: http://www.cisco.com/en/us/prod/collateral/switches/ps5718/ps6406/pr oduct_data_sheet0900aecd80322c0c.html Zagrożenia w sieciach komputerowych 23

Port Security Przeciwdziałanie zmianie adresu MAC przez użytkownika MAC spoofing. W tym także przeciwdziałanie podpięciu obcego hosta. Przeciwdziałanie MAC flooding. Zagrożenia w sieciach komputerowych 24

Port Security Ustalenie zasad bezpieczeństwa dla wybranego portu: Switch(config)# interface fastethernet <nr_portu> Ograniczenie dostępu hostów do Switch a: Switch(config-if)# switchport port-security Działanie w przypadku naruszenia reguły bezpieczeństwa: Switch(config-if)# switchport port-security violation <protect restrict shutdown> Ograniczenie liczby hostów na porcie: Switch(config-if)# switchport port-security maximum <liczba_hostów> Adresów MAC hostów Switch nauczy się automatycznie (pierwsze podłączone): Switch(config-if)# switchport port-security mac-address sticky Zagrożenia w sieciach komputerowych 25

Port Security Weryfikacja port security: Switch# show port-security Switch# show mac-address-table Switch# show running-config Uwaga: Jeśli nastąpi naruszenie zasad bezpieczeństwa i port zostanie wyłączony, konieczne będzie użycie polecenia shutdown a następnie no shutdown w celu dokonania reaktywacji tego portu. Zagrożenia w sieciach komputerowych 26

ARP spoofing Zagrożenia w sieciach komputerowych 27

ARP spoofing Zainstalować i skonfigurować w sieci program służący do podszycia się pod inne urządzenia (zmiana MAC dla określonego IP). Podszyć się pod bramę, dla wybranego hosta w sieci. Wykazać skuteczność metody (tablica ARP na hoście). Stwierdzić czy przełącznik jest podatny na ten rodzaj ataku. Zagrożenia w sieciach komputerowych 28

Zagrożenia w sieciach komputerowych 29

Brama (Router Cisco) Zagrożenia w sieciach komputerowych 30

Dobry host Zagrożenia w sieciach komputerowych 31

Zły host Zagrożenia w sieciach komputerowych 32

Program służący do podszycia się pod inne urządzenie (MAC) na złym hoście Zagrożenia w sieciach komputerowych 33

Podszycie Wykazać skuteczność metody (tablica ARP na hoście). Czy przełącznik jest podatny na ten atak? Przed Po Zagrożenia w sieciach komputerowych 34

Podszycie Analiza danych z Wireshark: ARP: Pakiety 1335 i 1336 Zapytanie DNS: 1427 i 1428 Zapytanie do google przez fałszywą bramę: 1434 i 1435 Zagrożenia w sieciach komputerowych 35

Przeciwdziałanie ARP spoofing Dynamic ARP Inspection (DAI) helps ensure user integrity by preventing malicious users from exploiting the insecure nature of the ARP protocol Cisco 2960 Data Sheet: http://www.cisco.com/en/us/prod/collateral/switches/ps5718/ps6406/pr oduct_data_sheet0900aecd80322c0c.html Zagrożenia w sieciach komputerowych 36

Przeciwdziałanie ARP spoofing Konfiguracja ARP inspection Włączyć ARP inspection dla określonego VLAN: Switch(config)# ip arp inspection vlan nr Port łączący przełącznik z ASA/Router (bramą) ustawić jako zaufany: Switch(config-if)# ip arp inspection trust Zagrożenia w sieciach komputerowych 37

Przeciwdziałanie ARP spoofing Weryfikacja ARP inspection: Switch# show ip arp inspection *Mar 1 00:39:37.415: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/1, vlan 1.([0800.27ce.4997/10.255.255.254/0016.d32c.edbe/10.0.0.13/00:39:36 UTC Mon Mar 1 1993]) *Mar 1 00:39:47.481: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/1, vlan 1.([0018.18bc.0941/10.0.0.15/0016.d32c.edbe/10.0.0.13/00:39:46 UTC Mon Mar 1 1993]) *Mar 1 00:39:47.481: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/1, vlan 1.([0800.27ce.4997/10.255.255.254/0016.d32c.edbe/10.0.0.13/00:39:46 UTC Mon Mar 1 1993]) *Mar 1 00:39:57.547: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/1, vlan 1.([0018.18bc.0941/10.0.0.15/0016.d32c.edbe/10.0.0.13/00:39:56 UTC Mon Mar 1 1993]) *Mar 1 00:39:57.547: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Res) on Fa0/1, vlan 1.([0800.27ce.4997/10.255.255.254/0016.d32c.edbe/10.0.0.13/00:39:56 UTC Mon Mar 1 1993]) Zagrożenia w sieciach komputerowych 38

Przeciwdziałanie skanowaniu *Mar 1 00:36:14.318: %SW_DAI-4-PACKET_RATE_EXCEEDED: 18 packets received in 41 milliseconds on Fa0/1. *Mar 1 00:36:14.318: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa0/1, putting Fa0/1 in err-disable state *Mar 1 00:36:15.325: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down *Mar 1 00:36:16.332: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down Zagrożenia w sieciach komputerowych 39

DHCP Snooping Zagrożenia w sieciach komputerowych 40

Protokoły DHCP i BOOTP BOOTP BOOTstrap Protocol DHCP Dynamic Host Configuration Protocol Protokoły te służą do określenia przy starcie jednostki wszystkich informacji potrzebnych do jej działania w sieci TCP/IP np. adresu IP. BOOTP brak dynamicznej konfiguracji jednostek w sieci. Zagrożenia w sieciach komputerowych 41

DHCP DHCP Dynamic Host Configuration Protocol: RFC 2131. Architektura klient serwer. Automatyczna konfiguracja węzłów sieci. Minimalizacja nakładów przy konfiguracji sieci IP. Wiele konfigurowalnych przez DHCP parametrów (oczywiście IP najważniejsze). Zagrożenia w sieciach komputerowych 42

DHCP Protokół warstwy 7 (aplikacji). W warstwie 4 (transportowej) korzysta z UDP. Klient wysyła komunikaty do serwera na port 67. Serwer wysyła komunikaty do klienta na port 68. Zagrożenia w sieciach komputerowych 43

DHCP zasada działania Zagrożenia w sieciach komputerowych 44

DHCP zasada działania Zagrożenia w sieciach komputerowych 45

DHCP przydzielanie adresów Zagrożenia w sieciach komputerowych 46

DHCP problem! Co się dzieje gdy ktoś wprowadzi obcy serwer DHCP (np. domowy router)? Czy możliwa będzie komunikacja w sieci LAN? Jakie usługi działają a jakie nie? Zagrożenia w sieciach komputerowych 47

DHCP Snooping DHCP Snooping prevents malicious users from spoofing a DHCP server and sending out bogus addresses. This feature is used by other primary security features to prevent a number of other attacks such as ARP poisoning. Cisco 2960 Data Sheet: http://www.cisco.com/en/us/prod/collateral/switches/ps5718/ps6406/pr oduct_data_sheet0900aecd80322c0c.html Zagrożenia w sieciach komputerowych 48

Przeciwdziałanie DHCP spoofing Włączyć globalnie DHCP snooping: Switch(config)# ip dhcp snooping Włączyć DHCP snooping dla wybranych sieci: Switch(config)# ip dhcp snooping vlan nr Ustawić wybrany port jako zaufane źródło ofert z serwera DHCP: Switch(config-if)# ip dhcp snooping trust Zagrożenia w sieciach komputerowych 49

Weryfikacja DHCP spoofing Sprawdzić działanie DHCP snooping: Switch# show ip dhcp snooping MacAddress IpAddress Lease(sec) Type VLAN Interface ------------------ --------------- ---------- ------------- ---- ----------------- 00:16:D3:2C:ED:BE 10.0.0.13 84627 dhcp-snooping 1 FastEthernet0/13 00:21:70:AB:D4:8C 10.0.0.12 86262 dhcp-snooping 1 FastEthernet0/5 08:00:27:CE:49:97 10.0.0.15 84232 dhcp-snooping 1 FastEthernet0/1 Total number of bindings: 3 Zagrożenia w sieciach komputerowych 50

IP source guard Zagrożenia w sieciach komputerowych 51

IP source guard IP source guard prevents a malicious user from spoofing or taking over another user's IP address by creating a binding table between the client's IP and MAC address, port, and VLAN. Cisco 2960 Data Sheet: http://www.cisco.com/en/us/prod/collateral/switches/ps5718/ps6406/pr oduct_data_sheet0900aecd80322c0c.html Zagrożenia w sieciach komputerowych 52

IP Source Guard IPSG przeciwdziała między innymi IP spoofing, z którym mamy do czynienia gdy intruz żąda / przypisuje sobie adres IP innego urządzenia (np. serwer, router). Takie podszycie umożliwia prowadzenie podsłuchu danych oraz ich fabrykację. http://fuzzexp.org/ip-spoofing-attack-and-defenses.html Zagrożenia w sieciach komputerowych 53

IP Source Guard Włączenie IPSG wymaga wcześniejszej konfiguracji: DHCP snooping port-security Switch(config-if)#ip verify source port-security W pierwszej kolejności sprawdzany jest źródłowy adres IP w przychodzącym pakiecie z bazą DHCP snooping a następnie sprawdzany jest źródłowy adres MAC z bazą port-security na danym porcie. Tworzone są ACL na każdym porcie (brak widoczności w running-config). Ruch, który nie spełnia podanych wyżej warunków jest odrzucany przez sprzęt. Jednakże port nie przechodzi w status errdisable standardowo wyświetla na konsoli informację o naruszeniu reguł. Zagrożenia w sieciach komputerowych 54

Weryfikacja IP Source Guard Switch#sh ip verify source Interface Filter-type Filter-mode IP-address Mac-address Vlan --------- ----------- ----------- --------------- ----------------- ---- Fa0/5 ip-mac active 10.0.0.12 00:21:70:AB:D4:8C 1 Jeśli urządzenie z włączonym IPSG otrzyma pakiet IP z adresem 10.0.0.12, IPSG prześle pakiet tylko jeśli adres MAC ramki ma wartość 00:21:70:AB:D4:8C. Zagrożenia w sieciach komputerowych 55

Bezpieczeństwo L2 i L3 Przełącznik L2 Cisco 2960: Port Security DHCP Snooping Dynamic ARP Inspection (DAI) IP Source Guard Cisco 2960 Data Sheet: http://www.cisco.com/en/us/prod/collateral/switches/ps5718/ps6406/product_ data_sheet0900aecd80322c0c.html Zagrożenia w sieciach komputerowych 56

Zagrożenia w sieciach komputerowych KONIEC Zagrożenia w sieciach komputerowych 57

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres