встроенный иммунитет

АЛЕКСЕЙ ЛУКАЦКИЙ

Спецвыпуск: Хакер, номер #068, стр. 068-076-3

Настройка IP Source Guard для CatOS

set port security-acl 1/2 port-based

set port dhcp-snooping 1/2 source-guard enable

Настройка IP Source Guard для IOS (Cisco Catalyst 4500)

ip verify source vlan dhcp-snooping port-security

Настройка IP Source Guard для IOS (Cisco Catalyst 3750)

ip verify source port-security

[bpdu guard и root guard.]

Другой часто упоминаемой проблемой для локальных сетей, является набор уязвимостей протокола Spanning Tree (STP), которые были обнаружены российскими экспертами в области безопасности – Олегом Артемьевым и Владиславом Мяснянкиным. С тех пор много воды утекло, но и по сей день встречается оборудование известных сетевых вендоров, которые подвержены данным уязвимостям, что приводит к хаосу в сети и ее отказу в обслуживании. В коммутаторах Cisco существует 2 механизма: BPDU Guard и Root Guard.

Активация BPDU Guard и Root Guard для CatOS

set spantree portfast bpdu-guard enable

set spantree guard root 1/1

Активация BPDU Guard и Root Guard для IOS

spanning-tree portfast bpduguard

spanning-tree guard root или spanning-tree rootguard

[за рамками статьи]

ОСТАЛОСЬ МНОЖЕСТВО ИНТЕРЕСНЫХ ВСТРОЕННЫХ ФУНКЦИЙ CATALYST, ОБЕСПЕЧИВАЮЩИХ ЗАЩИТУ ЛОКАЛЬНОЙ СЕТИ: ИСПОЛЬЗОВАНИЕ СПИСКОВ КОНТРОЛЯ ДОСТУПА (ACCESS CONTROL LIST, ACL), ПРОТОКОЛА 802.1X И ТЕХНОЛОГИИ NETWORK ADMISSION CONTROL, BROADCATS SUPRESSION (STORM CONTROL) И QOS SCAVENGER CLASS, CISCO EXPRESS FORWARDING И CPP LIMITING И Т.Д. ВСЕ ВМЕСТЕ, ЭТИ МЕХАНИЗМЫ ПОЗВОЛЯЮТ ИСПОЛЬЗОВАТЬ КОММУТАТОРЫ CISCO CATALYST НЕ ТОЛЬКО ПО СВОЕМУ ПРЯМОМУ НАЗНАЧЕНИЮ, НО И ВОЗЛОЖИТЬ НА НИХ БАЗОВЫЕ ФУНКЦИИ ЗАЩИТЫ ЛОКАЛЬНОЙ СЕТИ, НЕ ТРАТЯСЬ НА ПРИОБРЕТЕНИЕ ДОРОГОСТОЯЩЕГО НАВЕСНОГО ОБОРУДОВАНИЯ

РАСПРОСТРАНЕННАЯ АТАКА В ЛОКАЛЬНЫХ СЕТЯХ - ПЕРЕХВАТ ТРАФИКА ПУТЕМ ЕГО ПЕРЕНАПРАВЛЕНИЯ НА СЕБЯ

ЗЛОУМЫШЛЕННИК МОЖЕТ ПОДМЕНЯТЬ НЕ ТОЛЬКО MAC-АДРЕСА, НО И ОРГАНИЗОВЫВАТЬ IP-СПУФИНГ