встроенный иммунитет

АЛЕКСЕЙ ЛУКАЦКИЙ

Спецвыпуск: Хакер, номер #068, стр. 068-076-2

switchport port-security maximum 3

switchport port-security violation restrict

switchport port-security aging time 2

switchport port-security aging type inactivity

В примере авторизуем только 3 MAC-адреса на порту, и, при превышении их числа, порт не блокируется. Время «привязки» адресов к порту (время устаревания информации об авторизованных адресах) составляет 2 минуты. Если ты используешь IP-телефонию, то на каждом порту нужно разрешать 3 адреса (рабочая станция, IP-телефон и мини-коммутатор в IP-телефоне). При подключении только рабочей станции достаточно указать максимальное количество адресов на порту, равное единице.

Механизм Port Security помимо блокирования «чужих» адресов может быть использован и для предотвращения атак, например, переполнения таблицы коммутации (MAC Flood) или истощения DHCP (DHCP Starvation).

[dhcp snooping.]

Еще одна распространенная атака, которая встречается в локальных сетях, - перехват трафика путем его перенаправления на себя. Делается это достаточно просто. Злоумышленник, выдавая себя за DHCP-сервер, подменяет адреса отдельных узлов в сети (например, маршрутизатора), тем самым меняя маршруты информационных потоков. Другим применением этой атаки может служить атака «отказ в обслуживании», когда на определенные адреса трафик может вообще не доходить.

И наконец, последний пример атак с применением DHCP – истощение адресов (DHCP Starvation). Генерируя большой поток ложных служебных сообщений о выделении адресов, злоумышленник может «выбрать» весь пул адресов, и для авторизованных пользователей их просто не останется, что приведет к невозможности их работы. Защититься от этого позволит встроенная функция коммутаторов Cisco Catalyst – DHCP Snooping.

Настройка DHCP Snooping для CatOs

set security acl ip snoop1 permit dhcp-snooping

set security acl ip snoop1 permit ip any any

commit security acl all

set security acl map snoop1 183

set port dhcp-snooping 1/3 trust enable

set security acl feature ratelimit 15

[dynamic arp inspection.]

С протоколом ARP также немало проблем. И также, как и в случае с DHCP, некорректная настройка данного протокола позволяет злоумышленникам осуществлять перехват данных, «отказывать в обслуживании» и вносить хаос в работу сети. Для защиты от ARP-атак в коммутаторах Cisco существует специальный механизм - Dynamic ARP Inspection (DAI) .

Настройка DAI для CatOS

set security acl arp-inspection dynamic enable 183

set port arp-inspection 1/3 trust enable

set security acl feature ratelimit 500

Первая команда связывает определенную VLAN с механизмом DAI, вторая – определяет порты, которым «доверяем», а третья – ограничивает полосу пропускания для защиты от DoS-атак.

Настройка DAI для IOS

ip arp inspection vlan 4,104

ip arp inspection trust

ip arp inspection limit rate 15

[ip source guard.]

Злоумышленник может подменять не только MAC-адреса, реализуя различные ARP-атаки, но и организовывать IP-спуфинг. Например, до 95% DoS-атак осуществляется именно с подменой IP-адреса, поэтому защита от этой угрозы является достаточно актуальной. Но если на периметре это сделать достаточно просто, и любой маршрутизатор и межсетевой экран делает это «влет», то в локальной сети это достаточно серьезная проблема. В коммутаторах Cisco Catalyst существует еще один механизм – IP Source Guard.